Keluaran pembetulan pustaka Log4j 2.17.1, 2.3.2-rc1 dan 2.12.4-rc1 telah diterbitkan, yang membetulkan kerentanan lain (CVE-2021-44832). Disebutkan bahawa masalah itu membenarkan pelaksanaan kod jauh (RCE), tetapi ditandakan sebagai jinak (Skor CVSS 6.6) dan terutamanya hanya kepentingan teori, kerana ia memerlukan syarat khusus untuk eksploitasi - penyerang mesti dapat membuat perubahan kepada fail tetapan Log4j, i.e. mesti mempunyai akses kepada sistem yang diserang dan kuasa untuk menukar nilai parameter konfigurasi log4j2.configurationFile atau membuat perubahan pada fail sedia ada dengan tetapan pengelogan.
Serangan bermuara kepada mentakrifkan konfigurasi berasaskan JDBC Appender pada sistem tempatan yang merujuk kepada URI JNDI luaran, atas permintaan yang mana kelas Java boleh dikembalikan untuk pelaksanaan. Secara lalai, JDBC Appender tidak dikonfigurasikan untuk mengendalikan protokol bukan Java, i.e. Tanpa mengubah konfigurasi, serangan adalah mustahil. Selain itu, isu ini hanya mempengaruhi JAR teras log4j dan tidak menjejaskan aplikasi yang menggunakan JAR log4j-api tanpa teras log4j. ...
Sumber: opennet.ru