Log4j లైబ్రరీ 2.17.1, 2.3.2-rc1 మరియు 2.12.4-rc1 యొక్క దిద్దుబాటు విడుదలలు ప్రచురించబడ్డాయి, ఇవి మరొక దుర్బలత్వాన్ని పరిష్కరిస్తాయి (CVE-2021-44832). సమస్య రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE)ని అనుమతిస్తుంది, కానీ నిరపాయమైనదిగా (CVSS స్కోర్ 6.6) గుర్తించబడింది మరియు ప్రధానంగా సైద్ధాంతిక ఆసక్తిని కలిగి ఉంటుంది, ఎందుకంటే ఇది దోపిడీకి నిర్దిష్ట షరతులు అవసరం - దాడి చేసే వ్యక్తి తప్పనిసరిగా మార్పులు చేయగలగాలి సెట్టింగ్ల ఫైల్ Log4j, అనగా. దాడి చేయబడిన సిస్టమ్కు ప్రాప్యత కలిగి ఉండాలి మరియు log4j2.configurationFile కాన్ఫిగరేషన్ పరామితి యొక్క విలువను మార్చడానికి లేదా లాగింగ్ సెట్టింగ్లతో ఇప్పటికే ఉన్న ఫైల్లకు మార్పులు చేయడానికి అధికారాన్ని కలిగి ఉండాలి.
బాహ్య JNDI URIని సూచించే స్థానిక సిస్టమ్పై JDBC అపెండర్-ఆధారిత కాన్ఫిగరేషన్ను నిర్వచించడంతో దాడి దిమ్మదిరిగింది, దీని అభ్యర్థనపై జావా క్లాస్ని అమలు చేయడానికి తిరిగి ఇవ్వవచ్చు. డిఫాల్ట్గా, JDBC అపెండర్ నాన్-జావా ప్రోటోకాల్లను నిర్వహించడానికి కాన్ఫిగర్ చేయబడలేదు, అనగా. ఆకృతీకరణను మార్చకుండా, దాడి అసాధ్యం. అదనంగా, సమస్య log4j-core JARని మాత్రమే ప్రభావితం చేస్తుంది మరియు log4j-core లేకుండా log4j-api JARని ఉపయోగించే అప్లికేషన్లను ప్రభావితం చేయదు. ...
మూలం: opennet.ru