Log4j පුස්තකාලයේ නිවැරදි නිකුතු 2.17.1, 2.3.2-rc1 සහ 2.12.4-rc1 ප්රකාශයට පත් කර ඇති අතර, එය තවත් අවදානමක් නිරාකරණය කරයි (CVE-2021-44832). ප්රශ්නය දුරස්ථ කේත ක්රියාත්මක කිරීම (RCE) සඳහා ඉඩ ලබා දෙන බව සඳහන් වේ, නමුත් එය හිතකර (CVSS ලකුණු 6.6) ලෙස සලකුණු කර ඇති අතර එය ප්රධාන වශයෙන් න්යායික උනන්දුවක් පමණක් වේ, මන්ද එයට සූරාකෑම සඳහා නිශ්චිත කොන්දේසි අවශ්ය වේ - ප්රහාරකයාට වෙනස්කම් කිරීමට හැකි විය යුතුය. Log4j සැකසුම් ගොනුව, i.e. ප්රහාරයට ලක් වූ පද්ධතියට ප්රවේශය සහ log4j2.configurationFile වින්යාස පරාමිතියෙහි අගය වෙනස් කිරීමට හෝ ලොග් කිරීමේ සිටුවම් සමඟ පවතින ගොනුවලට වෙනස්කම් කිරීමට බලය තිබිය යුතුය.
බාහිර JNDI URI වෙත යොමු වන දේශීය පද්ධතියේ JDBC Appender මත පදනම් වූ වින්යාසයක් නිර්වචනය කිරීම දක්වා ප්රහාරය උත්සන්න වේ, ඉල්ලීම මත Java පන්තියක් ක්රියාත්මක කිරීම සඳහා ආපසු ලබා දිය හැක. පෙරනිමියෙන්, JDBC Appender ජාවා නොවන ප්රොටෝකෝල හැසිරවීමට වින්යාස කර නැත, i.e. වින්යාසය වෙනස් නොකර, ප්රහාරය කළ නොහැක. අතිරේකව, ගැටළුව බලපාන්නේ log4j-core JAR වෙත පමණක් වන අතර log4j-core නොමැතිව log4j-api JAR භාවිතා කරන යෙදුම්වලට බලපාන්නේ නැත. ...
මූලාශ්රය: opennet.ru