Ġew ippubblikati rilaxxi korrettivi tal-librerija Log4j 2.17.1, 2.3.2-rc1 u 2.12.4-rc1, li jiffissaw vulnerabbiltà oħra (CVE-2021-44832). Huwa msemmi li l-problema tippermetti eżekuzzjoni remota tal-kodiċi (RCE), iżda hija mmarkata bħala beninna (CVSS Score 6.6) u hija prinċipalment ta’ interess teoretiku biss, peress li teħtieġ kundizzjonijiet speċifiċi għall-isfruttament - l-attakkant irid ikun jista’ jagħmel bidliet għal il-fajl tas-settings Log4j, i.e. irid ikollu aċċess għas-sistema attakkata u l-awtorità biex ibiddel il-valur tal-parametru tal-konfigurazzjoni log4j2.configurationFile jew jagħmel bidliet fil-fajls eżistenti b'settings tal-illoggjar.
L-attakk jiċċirkonda fid-definizzjoni ta 'konfigurazzjoni bbażata fuq JDBC Appender fuq is-sistema lokali li tirreferi għal URI JNDI estern, li fuq talba tiegħu klassi Java tista' tiġi rritornata għall-eżekuzzjoni. B'mod awtomatiku, JDBC Appender mhuwiex ikkonfigurat biex jimmaniġġja protokolli mhux Java, i.e. Mingħajr ma tinbidel il-konfigurazzjoni, l-attakk huwa impossibbli. Barra minn hekk, il-kwistjoni taffettwa biss il-JAR log4j-core u ma taffettwax applikazzjonijiet li jużaw il-JAR log4j-api mingħajr log4j-core. ...
Sors: opennet.ru