Објављена су корективна издања библиотеке Лог4ј 2.17.1, 2.3.2-рц1 и 2.12.4-рц1, која поправљају још једну рањивост (ЦВЕ-2021-44832). Напомиње се да проблем омогућава даљинско извршавање кода (РЦЕ), али је означен као бенигни (ЦВСС Сцоре 6.6) и углавном је од само теоријског интереса, јер захтева специфичне услове за експлоатацију – нападач мора бити у могућности да изврши промене у фајл за подешавања Лог4ј, тј. мора имати приступ нападнутом систему и овлашћење да промени вредност конфигурационог параметра лог4ј2.цонфигуратионФиле или да изврши промене у постојећим датотекама са подешавањима евиденције.
Напад се своди на дефинисање конфигурације засноване на ЈДБЦ Аппендер-у на локалном систему која се односи на спољни ЈНДИ УРИ, на чији захтев се Јава класа може вратити на извршење. Подразумевано, ЈДБЦ Аппендер није конфигурисан за руковање не-Јава протоколима, тј. Без промене конфигурације, напад је немогућ. Поред тога, проблем утиче само на лог4ј-цоре ЈАР и не утиче на апликације које користе лог4ј-апи ЈАР без лог4ј-цоре. ...
Извор: опеннет.ру