Boli zverejnené opravné vydania knižnice Log4j 2.17.1, 2.3.2-rc1 a 2.12.4-rc1, ktoré opravujú ďalšiu zraniteľnosť (CVE-2021-44832). Uvádza sa, že problém umožňuje vzdialené spustenie kódu (RCE), ale je označený ako neškodný (CVSS Score 6.6) a má hlavne teoretický význam, pretože vyžaduje špecifické podmienky na zneužitie – útočník musí byť schopný vykonať zmeny súbor nastavení Log4j, t.j. musí mať prístup k napadnutému systému a oprávnenie zmeniť hodnotu konfiguračného parametra log4j2.configurationFile alebo vykonať zmeny v existujúcich súboroch s nastaveniami protokolovania.
Útok sa scvrkáva na definovanie konfigurácie založenej na JDBC Appender na lokálnom systéme, ktorá odkazuje na externé JNDI URI, na základe ktorého je možné vrátiť triedu Java na vykonanie. V predvolenom nastavení nie je JDBC Appender nakonfigurovaný na spracovanie protokolov iných ako Java, t.j. Bez zmeny konfigurácie je útok nemožný. Okrem toho sa problém týka iba log4j-core JAR a neovplyvňuje aplikácie, ktoré používajú log4j-api JAR bez log4j-core. ...
Zdroj: opennet.ru