Navoaka ny famoahana fanitsiana ny tranomboky Log4j 2.17.1, 2.3.2-rc1 ary 2.12.4-rc1, izay manamboatra vulnerable hafa (CVE-2021-44832). Voalaza fa ny olana dia mamela ny famonoana kaody lavitra (RCE), saingy voamarika ho tsy misy dikany (CVSS Score 6.6) ary mahaliana indrindra amin'ny teorika, satria mitaky fepetra manokana ho an'ny fanararaotana - ny mpanafika dia tsy maintsy afaka manova ny ny fisie log4j, i.e. dia tsy maintsy manana fidirana amin'ny rafitra voatafika sy ny fahefana hanova ny sandan'ny log4j2.configurationFile masontsivana fanamafisana na manova ny rakitra efa misy miaraka amin'ny firafitry ny log.
Ny fanafihana dia miainga amin'ny famaritana ny JDBC Appender mifototra amin'ny rafitra eo an-toerana izay manondro ny JNDI URI ivelany, amin'ny fangatahana izay ahafahan'ny kilasy Java averina hovonoina. Amin'ny alΓ lan'ny default, ny JDBC Appender dia tsy natsangana mba hikarakarana ireo protocols tsy Java, izany hoe. Raha tsy misy fanovana ny fanamafisam-peo dia tsy azo atao ny fanafihana. Fanampin'izany, ny JAR log4j-core ihany no misy fiantraikany amin'ny olana ary tsy misy fiantraikany amin'ny fampiharana mampiasa ny log4j-api JAR tsy misy log4j-core. ...
Source: opennet.ru