Log4j 2.17.1 अद्यावधिक अर्को जोखिम फिक्स

Log4j पुस्तकालय 2.17.1, 2.3.2-rc1 र 2.12.4-rc1 को सुधारात्मक विज्ञप्ति प्रकाशित गरिएको छ, जसले अर्को जोखिम (CVE-2021-44832) लाई समाधान गर्दछ। यो उल्लेख गरिएको छ कि समस्याले रिमोट कोड कार्यान्वयन (RCE) को लागि अनुमति दिन्छ, तर सौम्य (CVSS स्कोर 6.6) को रूपमा चिन्ह लगाइएको छ र मुख्यतया सैद्धान्तिक चासोको मात्र हो, किनकि यसले शोषणको लागि विशेष सर्तहरू चाहिन्छ - आक्रमणकारीले परिवर्तन गर्न सक्षम हुनुपर्दछ। सेटिंग्स फाइल Log4j, अर्थात् आक्रमण गरिएको प्रणाली र log4j2.configurationFile कन्फिगरेसन प्यारामिटरको मान परिवर्तन गर्न वा लगिङ सेटिङहरूसँग अवस्थित फाइलहरूमा परिवर्तन गर्ने अधिकारमा पहुँच हुनुपर्छ।

स्थानीय प्रणालीमा JDBC एपेन्डर-आधारित कन्फिगरेसन परिभाषित गर्नको लागि आक्रमणले बाहिरी JNDI URI लाई जनाउँछ, जसको अनुरोधमा जाभा क्लास कार्यान्वयनको लागि फिर्ता गर्न सकिन्छ। पूर्वनिर्धारित रूपमा, JDBC एपेन्डर गैर-जाभा प्रोटोकलहरू ह्यान्डल गर्न कन्फिगर गरिएको छैन, अर्थात्। कन्फिगरेसन परिवर्तन नगरी, आक्रमण असम्भव छ। थप रूपमा, मुद्दाले log4j-core JAR लाई मात्र असर गर्छ र log4j-core बिना log4j-api JAR प्रयोग गर्ने अनुप्रयोगहरूलाई असर गर्दैन। ...

स्रोत: opennet.ru