Siideynta saxda ah ee maktabadda Log4j 2.17.1, 2.3.2-rc1 iyo 2.12.4-rc1 ayaa la daabacay, kuwaas oo hagaajiya dayacanka kale (CVE-2021-44832). Waxaa la xusay in dhibaatadu ay ogolaato fulinta code fog (RCE), laakiin waxaa lagu calaamadeeyay mid aan fiicneyn (CVSS Score 6.6) oo inta badan ay tahay danta aragtida kaliya, maadaama ay u baahan tahay shuruudo gaar ah oo ka faa'iidaysiga - weeraryahanku waa inuu awood u yeeshaa inuu isbedel ku sameeyo faylka dejinta Log4j, i.e. waa inay galaangal u yeeshaan nidaamka la weeraray iyo awoodda ay u leeyihiin inay beddelaan qiimaha log4j2.configurationFile qaabeynta halbeegga ama isbeddel ku sameeyaan faylalka jira ee leh goobaha gaynta.
Weerarku wuxuu hoos ugu dhacayaa qeexida qaabeynta ku saleysan JDBC Appender ee nidaamka maxalliga ah ee tixraacaya JNDI URI dibadda ah, marka la codsado kaas oo fasalka Java lagu soo celin karo fulinta. Sida caadiga ah, JDBC Appender looma habayn inuu qabto borotokoolka aan Java ahayn, i.e. Iyadoo aan la beddelin qaabeynta, weerarku waa mid aan macquul ahayn. Intaa waxaa dheer, arrintu kaliya waxay saamaysaa log4j-core JAR mana saameynayso codsiyada adeegsada log4j-api JAR iyada oo aan lahayn log4j-core. ...
Source: opennet.ru