Opublikowano wydania korygujące biblioteki Log4j 2.17.1, 2.3.2-rc1 i 2.12.4-rc1, które łatają kolejną lukę (CVE-2021-44832). Wspomniano, że problem umożliwia zdalne wykonanie kodu (RCE), ale jest oznaczony jako łagodny (wynik CVSS 6.6) i ma głównie znaczenie teoretyczne, ponieważ wymaga specyficznych warunków wykorzystania – atakujący musi być w stanie wprowadzić zmiany w plik ustawień Log4j, tj. musi mieć dostęp do zaatakowanego systemu oraz uprawnienia do zmiany wartości parametru konfiguracyjnego log4j2.configurationFile lub dokonania zmian w istniejących plikach z ustawieniami logowania.
Atak sprowadza się do zdefiniowania w systemie lokalnym konfiguracji opartej na JDBC Appender, która odwołuje się do zewnętrznego URI JNDI, na żądanie którego może zostać zwrócona klasa Java do wykonania. Domyślnie program JDBC Appender nie jest skonfigurowany do obsługi protokołów innych niż Java, tj. Bez zmiany konfiguracji atak jest niemożliwy. Ponadto problem dotyczy tylko pliku JAR log4j-core i nie wpływa na aplikacje korzystające z pliku JAR log4j-api bez rdzenia log4j. ...
Źródło: opennet.ru