Janë publikuar publikimet korrigjuese të bibliotekës Log4j 2.17.1, 2.3.2-rc1 dhe 2.12.4-rc1, të cilat rregullojnë një dobësi tjetër (CVE-2021-44832). Përmendet se problemi lejon ekzekutimin e kodit në distancë (RCE), por është shënuar si beninj (CVSS Score 6.6) dhe është kryesisht me interes vetëm teorik, pasi kërkon kushte specifike për shfrytëzim - sulmuesi duhet të jetë në gjendje të bëjë ndryshime në skedari i cilësimeve Log4j, d.m.th. duhet të ketë akses në sistemin e sulmuar dhe autoritetin për të ndryshuar vlerën e parametrit të konfigurimit të log4j2.configurationFile ose të bëjë ndryshime në skedarët ekzistues me cilësimet e regjistrimit.
Sulmi zbret në përcaktimin e një konfigurimi të bazuar në JDBC Appender në sistemin lokal që i referohet një URI të jashtëm JNDI, me kërkesë të së cilës një klasë Java mund të kthehet për ekzekutim. Si parazgjedhje, JDBC Appender nuk është konfiguruar për të trajtuar protokollet jo-Java, d.m.th. Pa ndryshuar konfigurimin, sulmi është i pamundur. Për më tepër, problemi prek vetëm JAR log4j-core dhe nuk prek aplikacionet që përdorin JAR log4j-api pa log4j-core. ...
Burimi: opennet.ru