Objavljene so bile popravne izdaje knjižnice Log4j 2.17.1, 2.3.2-rc1 in 2.12.4-rc1, ki odpravljajo še eno ranljivost (CVE-2021-44832). Omenjeno je, da težava omogoča oddaljeno izvajanje kode (RCE), vendar je označena kot benigna (CVSS Score 6.6) in je predvsem teoretično zanimiva, saj zahteva posebne pogoje za izkoriščanje - napadalec mora biti sposoben spreminjati datoteko z nastavitvami Log4j, tj. mora imeti dostop do napadenega sistema in pooblastilo za spreminjanje vrednosti konfiguracijskega parametra log4j2.configurationFile ali spreminjanje obstoječih datotek z nastavitvami beleženja.
Napad se zmanjša na definiranje konfiguracije, ki temelji na JDBC Appender, v lokalnem sistemu, ki se nanaša na zunanji JNDI URI, na zahtevo katerega je mogoče razred Java vrniti za izvedbo. Privzeto JDBC Appender ni konfiguriran za obdelavo protokolov, ki niso Java, tj. Brez spremembe konfiguracije je napad nemogoč. Poleg tega težava vpliva samo na JAR log4j-core in ne na aplikacije, ki uporabljajo JAR log4j-api brez jedra log4j. ...
Vir: opennet.ru