Korrigerande utgåvor av Log4j-biblioteket 2.17.1, 2.3.2-rc1 och 2.12.4-rc1 har publicerats, som fixar en annan sårbarhet (CVE-2021-44832). Det nämns att problemet tillåter fjärrkörning av kod (RCE), men är markerat som benign (CVSS Score 6.6) och är huvudsakligen av teoretiskt intresse, eftersom det kräver specifika villkor för exploatering - angriparen måste kunna göra ändringar i inställningsfilen Log4j, dvs. måste ha tillgång till det attackerade systemet och behörighet att ändra värdet på log4j2.configurationFile-konfigurationsparametern eller göra ändringar i befintliga filer med loggningsinställningar.
Attacken går ut på att definiera en JDBC Appender-baserad konfiguration på det lokala systemet som refererar till en extern JNDI URI, på begäran av vilken en Java-klass kan returneras för exekvering. Som standard är JDBC Appender inte konfigurerad för att hantera icke-Java-protokoll, dvs. Utan att ändra konfigurationen är attacken omöjlig. Dessutom påverkar problemet endast log4j-core JAR och påverkar inte applikationer som använder log4j-api JAR utan log4j-core. ...
Källa: opennet.ru