Au fost publicate versiuni corective ale bibliotecii Log4j 2.17.1, 2.3.2-rc1 și 2.12.4-rc1, care remediază o altă vulnerabilitate (CVE-2021-44832). Se menționează că problema permite execuția de cod la distanță (RCE), dar este marcată ca benignă (CVSS Score 6.6) și are în principal interes doar teoretic, deoarece necesită condiții specifice pentru exploatare - atacatorul trebuie să poată face modificări în fișierul de setări Log4j, adică trebuie să aibă acces la sistemul atacat și autoritatea de a modifica valoarea parametrului de configurare log4j2.configurationFile sau de a face modificări la fișierele existente cu setările de înregistrare.
Atacul se rezumă la definirea unei configurații bazate pe JDBC Appender pe sistemul local care se referă la un URI JNDI extern, la cererea căruia o clasă Java poate fi returnată pentru execuție. Implicit, JDBC Appender nu este configurat pentru a gestiona protocoale non-Java, de exemplu. Fără a schimba configurația, atacul este imposibil. În plus, problema afectează doar JAR-ul log4j-core și nu afectează aplicațiile care folosesc JAR-ul log4j-api fără log4j-core. ...
Sursa: opennet.ru