Ажурирање на Log4j 2.17.1 со поправена друга ранливост

Објавени се корективни изданија на библиотеката Log4j 2.17.1, 2.3.2-rc1 и 2.12.4-rc1, кои поправаат уште една ранливост (CVE-2021-44832). Се споменува дека проблемот овозможува далечинско извршување на кодот (RCE), но е означен како бенигна (CVSS Score 6.6) и е главно од само теоретски интерес, бидејќи бара специфични услови за експлоатација - напаѓачот мора да може да направи промени во датотеката за поставки Log4j, т.е. мора да има пристап до нападнатиот систем и овластување да ја менува вредноста на параметарот за конфигурација на log4j2.configurationFile или да прави промени на постоечките датотеки со поставки за логирање.

Нападот се сведува на дефинирање на конфигурација базирана на JDBC Appender на локалниот систем што се однесува на надворешен JNDI URI, по чие барање може да се врати Java класата за извршување. Стандардно, JDBC Appender не е конфигуриран да ракува со протоколи кои не се Java, т.е. Без промена на конфигурацијата, нападот е невозможен. Дополнително, проблемот влијае само на log4j-core JAR и не влијае на апликациите што користат log4j-api JAR без log4j-core. ...

Извор: opennet.ru