Log4j லைப்ரரி 2.17.1, 2.3.2-rc1 மற்றும் 2.12.4-rc1 இன் திருத்த வெளியீடுகள் வெளியிடப்பட்டுள்ளன, இது மற்றொரு பாதிப்பை சரிசெய்கிறது (CVE-2021-44832). இந்த பிரச்சனை ரிமோட் கோட் எக்ஸிகியூஷனை (RCE) அனுமதிக்கிறது, ஆனால் தீங்கற்றதாக (CVSS ஸ்கோர் 6.6) குறிக்கப்பட்டுள்ளது மற்றும் இது முக்கியமாக தத்துவார்த்த ஆர்வத்தை மட்டுமே கொண்டுள்ளது, ஏனெனில் சுரண்டலுக்கான குறிப்பிட்ட நிபந்தனைகள் தேவை - தாக்குபவர் மாற்றங்களைச் செய்ய முடியும். அமைப்பு கோப்பு Log4j, அதாவது. தாக்கப்பட்ட கணினிக்கான அணுகல் மற்றும் log4j2.configurationFile உள்ளமைவு அளவுருவின் மதிப்பை மாற்றுவதற்கான அதிகாரம் அல்லது பதிவு அமைப்புகளுடன் இருக்கும் கோப்புகளில் மாற்றங்களைச் செய்ய வேண்டும்.
வெளிப்புற JNDI URI ஐக் குறிக்கும் உள்ளூர் அமைப்பில் JDBC Appender-அடிப்படையிலான உள்ளமைவை வரையறுப்பதில் இந்த தாக்குதல் கொதித்தது, அதன் கோரிக்கையின் பேரில் ஒரு ஜாவா வகுப்பை செயல்படுத்துவதற்கு திருப்பி அனுப்பலாம். இயல்பாக, JDBC Appender ஜாவா அல்லாத நெறிமுறைகளைக் கையாளும் வகையில் உள்ளமைக்கப்படவில்லை, அதாவது. உள்ளமைவை மாற்றாமல், தாக்குதல் சாத்தியமற்றது. கூடுதலாக, சிக்கல் log4j-core JAR ஐ மட்டுமே பாதிக்கிறது மற்றும் log4j-core இல்லாமல் log4j-api JAR ஐப் பயன்படுத்தும் பயன்பாடுகளைப் பாதிக்காது. ...
ஆதாரம்: opennet.ru