د Log4j کتابتون 2.17.1، 2.3.2-rc1 او 2.12.4-rc1 اصلاحي خپرونه خپاره شوي، کوم چې یو بل زیانمنونکي حل کوي (CVE-2021-44832). دا یادونه وشوه چې ستونزه د ریموټ کوډ اجرا کولو (RCE) ته اجازه ورکوي، مګر د بې نظیر (CVSS سکور 6.6) په توګه نښه شوې او په عمده توګه یوازې د نظریاتي ګټو څخه ده، ځکه چې دا د استخراج لپاره ځانګړو شرایطو ته اړتیا لري - برید کونکی باید د دې وړتیا ولري چې بدلونونه راولي. د ترتیباتو فایل Log4j، i.e. باید برید شوي سیسټم ته لاسرسی ولري او واک ولري چې د log4j2.configurationFile ترتیب کولو پیرامیټر ارزښت بدل کړي یا د ننوتلو ترتیباتو سره موجوده فایلونو کې بدلون راولي.
برید په محلي سیسټم کې د JDBC ضمیمه پراساس ترتیب تعریف کولو پورې اړه لري چې یو بهرني JNDI URI ته اشاره کوي ، د غوښتنې پراساس د جاوا ټولګي د اجرا لپاره بیرته راستون کیدی شي. په ډیفالټ کې، د JDBC ضمیمه د غیر جاوا پروتوکولونو اداره کولو لپاره تنظیم شوی نه دی، د بیلګې په توګه. د ترتیب بدلولو پرته، برید ناممکن دی. سربیره پردې، مسله یوازې په log4j-core JAR اغیزه کوي او هغه غوښتنلیکونه اغیزه نه کوي چې د log4j-core پرته log4j-api JAR کاروي. ...
سرچینه: opennet.ru