ไลบรารี Log4j เวอร์ชันแก้ไข 2.17.1, 2.3.2-rc1 และ 2.12.4-rc1 ได้รับการเผยแพร่แล้ว ซึ่งแก้ไขช่องโหว่อื่น (CVE-2021-44832) มีการกล่าวถึงว่าปัญหาดังกล่าวอนุญาตให้มีการเรียกใช้โค้ดจากระยะไกล (RCE) แต่ถูกทำเครื่องหมายว่าไม่เป็นพิษเป็นภัย (คะแนน CVSS 6.6) และส่วนใหญ่เป็นเพียงความสนใจทางทฤษฎีเท่านั้น เนื่องจากต้องมีเงื่อนไขเฉพาะสำหรับการแสวงหาประโยชน์ - ผู้โจมตีจะต้องสามารถเปลี่ยนแปลงได้ ไฟล์การตั้งค่า Log4j เช่น จะต้องมีสิทธิ์เข้าถึงระบบที่ถูกโจมตีและมีสิทธิ์ในการเปลี่ยนแปลงค่าของพารามิเตอร์การกำหนดค่า log4j2.configurationFile หรือทำการเปลี่ยนแปลงไฟล์ที่มีอยู่ด้วยการตั้งค่าการบันทึก
การโจมตีเริ่มต้นที่การกำหนดการกำหนดค่าตาม JDBC Appender บนระบบโลคัลที่อ้างอิงถึง JNDI URI ภายนอก ตามคำขอซึ่งคลาส Java สามารถส่งคืนเพื่อดำเนินการได้ ตามค่าเริ่มต้น JDBC Appender จะไม่ถูกกำหนดค่าให้จัดการโปรโตคอลที่ไม่ใช่ Java เช่น การโจมตีจะไม่สามารถทำได้หากไม่มีการเปลี่ยนแปลงการกำหนดค่า นอกจากนี้ ปัญหาดังกล่าวมีผลกับ JAR ของ log4j-core เท่านั้น และไม่ส่งผลกระทบต่อแอปพลิเคชันที่ใช้ log4j-api JAR โดยไม่มี log4j-core ...
ที่มา: opennet.ru