Ko nga putanga whakatika o te whare pukapuka Log4j 2.17.1, 2.3.2-rc1 me 2.12.4-rc1 kua whakaputaina, e whakatika ana i tetahi atu whakaraeraetanga (CVE-2021-44832). E kiia ana ko te raru ka taea te mahi waehere mamao (RCE), engari kua tohuhia he pai (CVSS Score 6.6) me te nuinga o nga kaupapa whakaaro anake, na te mea e hiahia ana nga tikanga motuhake mo te whakamahi - me kaha te kaitawhai ki te whakarereke te kōnae tautuhinga Log4j, i.e. me whai waahi ki te punaha whakaekea me te mana ki te huri i te uara o te tawhā whirihora log4j2.configurationFile, ki te whakarereke ranei i nga konae me nga tautuhinga takiuru.
Ko te whakaekenga ka heke ki te tautuhi i te whirihoranga a JDBC Appender i runga i te punaha o te rohe e pa ana ki tetahi JNDI URI o waho, i runga i te tono ka taea te whakahoki mai i tetahi akomanga Java mo te mahi. Ma te taunoa, karekau a JDBC Appender i whirihora ki te hapai i nga kawa kore-Java, i.e. Ma te kore e whakarereke i te whirihoranga, kaore e taea te whakaeke. I tua atu, ko te take anake e pa ana ki te log4j-core JAR me te kore e pa ki nga tono e whakamahi ana i te log4j-api JAR kaore he log4j-matua. ...
Source: opennet.ru