Korrigerende utgivelser av Log4j-biblioteket 2.17.1, 2.3.2-rc1 og 2.12.4-rc1 har blitt publisert, som fikser en annen sårbarhet (CVE-2021-44832). Det nevnes at problemet tillater ekstern kjøring av kode (RCE), men er markert som godartet (CVSS Score 6.6) og er hovedsakelig av kun teoretisk interesse, siden det krever spesifikke betingelser for utnyttelse – angriperen må kunne gjøre endringer i innstillingsfilen Log4j, dvs. må ha tilgang til det angrepne systemet og autoritet til å endre verdien på konfigurasjonsparameteren log4j2.configurationFile eller gjøre endringer i eksisterende filer med loggingsinnstillinger.
Angrepet koker ned til å definere en JDBC Appender-basert konfigurasjon på det lokale systemet som refererer til en ekstern JNDI URI, på forespørsel som en Java-klasse kan returneres for kjøring. Som standard er ikke JDBC Appender konfigurert til å håndtere ikke-Java-protokoller, dvs. Uten å endre konfigurasjonen er angrepet umulig. I tillegg påvirker problemet bare log4j-core JAR og påvirker ikke applikasjoner som bruker log4j-api JAR uten log4j-core. ...
Kilde: opennet.ru