Er zijn corrigerende releases van de Log4j-bibliotheek 2.17.1, 2.3.2-rc1 en 2.12.4-rc1 gepubliceerd, die een andere kwetsbaarheid verhelpen (CVE-2021-44832). Er wordt vermeld dat het probleem uitvoering van externe code (RCE) mogelijk maakt, maar als goedaardig wordt gemarkeerd (CVSS-score 6.6) en voornamelijk alleen van theoretisch belang is, omdat het specifieke voorwaarden voor exploitatie vereist - de aanvaller moet wijzigingen kunnen aanbrengen in het instellingenbestand Log4j, d.w.z. moet toegang hebben tot het aangevallen systeem en de bevoegdheid hebben om de waarde van de configuratieparameter log4j2.configurationFile te wijzigen of wijzigingen aan te brengen in bestaande bestanden met logboekregistratie-instellingen.
De aanval komt neer op het definiΓ«ren van een JDBC Appender-gebaseerde configuratie op het lokale systeem die verwijst naar een externe JNDI URI, op verzoek waarvan een Java-klasse kan worden geretourneerd voor uitvoering. Standaard is JDBC Appender niet geconfigureerd om niet-Java-protocollen te verwerken, d.w.z. Zonder de configuratie te veranderen is de aanval onmogelijk. Bovendien heeft het probleem alleen invloed op de log4j-core JAR en heeft het geen invloed op toepassingen die de log4j-api JAR gebruiken zonder log4j-core. ...
Bron: opennet.ru