Matoleo sahihi ya maktaba ya Log4j 2.17.1, 2.3.2-rc1 na 2.12.4-rc1 yamechapishwa, ambayo hurekebisha athari nyingine (CVE-2021-44832). Inaelezwa kuwa tatizo linaruhusu utekelezaji wa msimbo wa kijijini (RCE), lakini limetiwa alama kuwa lisilofaa (CVSS Score 6.6) na lina maslahi ya kinadharia tu, kwani linahitaji hali maalum za unyonyaji - mshambuliaji lazima aweze kufanya mabadiliko faili ya mipangilio Log4j, i.e. lazima iwe na upatikanaji wa mfumo ulioshambuliwa na mamlaka ya kubadilisha thamani ya parameter ya usanidi wa log4j2.configurationFile au kufanya mabadiliko kwa faili zilizopo na mipangilio ya kuingia.
Shambulio hilo linatokana na kufafanua usanidi kulingana na Kiambatisho cha JDBC kwenye mfumo wa ndani unaorejelea JNDI URI ya nje, kwa ombi ambalo darasa la Java linaweza kurejeshwa ili kutekelezwa. Kwa chaguo-msingi, JDBC Appender haijasanidiwa kushughulikia itifaki zisizo za Java, i.e. Bila kubadilisha usanidi, shambulio hilo haliwezekani. Zaidi ya hayo, suala hilo linaathiri tu log4j-core JAR na haliathiri programu zinazotumia log4j-api JAR bila log4j-core. ...
Chanzo: opennet.ru