Log4j номын сангийн 2.17.1, 2.3.2-rc1 болон 2.12.4-rc1-ийн залруулах хувилбарууд нийтлэгдсэн бөгөөд өөр нэг эмзэг байдлыг зассан (CVE-2021-44832). Асуудал нь алсаас код гүйцэтгэх (RCE) боломжийг олгодог боловч хор хөнөөлгүй гэж тэмдэглэгдсэн (CVSS оноо 6.6) бөгөөд энэ нь мөлжлөгт тодорхой нөхцөл шаарддаг тул голчлон зөвхөн онолын сонирхол татдаг - халдагч нь кодыг өөрчлөх боломжтой байх ёстой. тохиргооны файл Log4j, i.e. халдлагад өртсөн системд хандах эрх, log4j2.configurationFile тохиргооны параметрийн утгыг өөрчлөх эсвэл бүртгэлийн тохиргоо бүхий одоо байгаа файлуудад өөрчлөлт оруулах эрхтэй байх ёстой.
Энэхүү халдлага нь гадаад JNDI URI-д хамаарах локал систем дээрх JDBC Appender-д суурилсан тохиргоог тодорхойлоход хүргэдэг бөгөөд хүсэлтийн дагуу Java ангиллыг гүйцэтгэхэд буцааж болно. Анхдагчаар, JDBC Appender нь Java бус протоколуудыг зохицуулахаар тохируулагдаагүй байна. Тохиргоог өөрчлөхгүйгээр халдлага хийх боломжгүй. Нэмж хэлэхэд, асуудал нь зөвхөн log4j-core JAR-д хамаарах бөгөөд log4j-core-гүй log4j-api JAR ашигладаг програмуудад нөлөөлөхгүй. ...
Эх сурвалж: opennet.ru