Ir publicēti koriģējošie Log4j bibliotēkas 2.17.1, 2.3.2-rc1 un 2.12.4-rc1 laidieni, kas novērš citu ievainojamību (CVE-2021-44832). Tiek minēts, ka problēma pieļauj attālinātu koda izpildi (RCE), bet tiek atzīmēta kā labdabīga (CVSS Score 6.6) un galvenokārt ir tikai teorētiska interese, jo prasa īpašus ekspluatācijas nosacījumus – uzbrucējam ir jāspēj veikt izmaiņas iestatījumu fails Log4j, t.i. jābūt piekļuvei uzbrukuma sistēmai un pilnvarām mainīt konfigurācijas parametra log4j2.configurationFile vērtību vai veikt izmaiņas esošajos failos ar reģistrēšanas iestatījumiem.
Uzbrukums ir saistīts ar uz JDBC papildinājumu balstītas konfigurācijas definēšanu vietējā sistēmā, kas atsaucas uz ārēju JNDI URI, pēc kura pieprasījuma izpildei var atgriezt Java klasi. Pēc noklusējuma JDBC papildinājums nav konfigurēts, lai apstrādātu protokolus, kas nav Java protokoli, t.i. Nemainot konfigurāciju, uzbrukums nav iespējams. Turklāt problēma skar tikai log4j-core JAR un neietekmē lietojumprogrammas, kas izmanto log4j-api JAR bez log4j-core. ...
Avots: opennet.ru