Log4j ဒစ်ဂျစ်တိုက် 2.17.1၊ 2.3.2-rc1 နှင့် 2.12.4-rc1 ၏ မှန်ကန်သော ထုတ်ဝေမှုများကို ထုတ်ဝေခဲ့ပြီး၊ အခြားအားနည်းချက် (CVE-2021-44832) ကို ပြုပြင်ပေးပါသည်။ ပြဿနာသည် အဝေးထိန်းကုဒ် အကောင်အထည်ဖော်မှု (RCE) ကို ခွင့်ပြုထားသော်လည်း နူးညံ့သိမ်မွေ့သော (CVSS Score 6.6) အဖြစ် အမှတ်အသားပြုထားပြီး အဓိကအားဖြင့် သီအိုရီအရ အကျိုးစီးပွားအတွက်သာ ဖြစ်သည့်အတွက် ၎င်းသည် အသုံးချခြင်းအတွက် သီးခြားအခြေအနေများ လိုအပ်သောကြောင့် - တိုက်ခိုက်သူသည် အပြောင်းအလဲများ ပြုလုပ်နိုင်ရပါမည်။ ဆက်တင်ဖိုင် Log4j၊ ဥပမာ၊ တိုက်ခိုက်ခံရသောစနစ်သို့ဝင်ရောက်ခွင့်နှင့် log4j2.configurationFile ဖွဲ့စည်းမှုသတ်မှတ်ချက်ဘောင်၏တန်ဖိုးကိုပြောင်းရန် သို့မဟုတ် မှတ်တမ်းဆက်တင်များဖြင့် ရှိပြီးသားဖိုင်များကို အပြောင်းအလဲလုပ်ပိုင်ခွင့်ရှိရမည်။
ပြင်ပ JNDI URI ကိုရည်ညွှန်းသည့် ဒေသတွင်းစနစ်တွင် JDBC Appender-based configuration ကိုသတ်မှတ်ခြင်းတွင် Java အတန်းအစားကို ကွပ်မျက်ရန်အတွက် ပြန်ပေးနိုင်သည့် တောင်းဆိုမှုအရ တိုက်ခိုက်မှုသည် အကျည်းတန်သည်။ ပုံမှန်အားဖြင့်၊ JDBC Appender သည် Java မဟုတ်သော ပရိုတိုကောများကို ကိုင်တွယ်ရန် စီစဉ်မထားပါ။ ဖွဲ့စည်းမှုပုံစံကို မပြောင်းလဲဘဲ၊ တိုက်ခိုက်ရန် မဖြစ်နိုင်ပါ။ ထို့အပြင်၊ ပြဿနာသည် log4j-core JAR ကိုသာအကျိုးသက်ရောက်ပြီး log4j-core မပါဘဲ log4j-api JAR ကိုအသုံးပြုသည့် application များကိုမထိခိုက်စေပါ။ ...
source: opennet.ru