Kaluaran corrective tina perpustakaan Log4j 2.17.1, 2.3.2-rc1 jeung 2.12.4-rc1 geus diterbitkeun, nu ngalereskeun kerentanan sejen (CVE-2021-44832). Disebutkeun yén masalahna ngamungkinkeun palaksanaan kode jauh (RCE), tapi ditandaan salaku benign (CVSS Score 6.6) sareng utamina ngan ukur kapentingan téoritis, sabab butuh kaayaan khusus pikeun eksploitasi - panyerang kedah tiasa ngadamel parobihan kana. file setélan Log4j, i.e. kudu boga aksés ka sistem diserang jeung wewenang pikeun ngarobah nilai parameter konfigurasi log4j2.configurationFile atawa jieun perobahan kana file aya kalawan setélan logging.
serangan nu bisul handap pikeun nangtukeun konfigurasi basis Appender JDBC on sistem lokal nu nujul kana hiji JNDI URI éksternal, kana pamundut nu hiji kelas Java bisa balik pikeun palaksanaan. Sacara standar, JDBC Appender teu ngonpigurasi pikeun nanganan protokol non-Java, i.e. Tanpa ngarobah konfigurasi, serangan teu mungkin. Salaku tambahan, masalahna ngan mangaruhan log4j-core JAR sareng henteu mangaruhan aplikasi anu nganggo log4j-api JAR tanpa log4j-core. ...
sumber: opennet.ru