Ang mga corrective release ng Log4j library 2.17.1, 2.3.2-rc1 at 2.12.4-rc1 ay nai-publish, na nag-aayos ng isa pang kahinaan (CVE-2021-44832). Nabanggit na ang problema ay nagbibigay-daan para sa remote code execution (RCE), ngunit minarkahan bilang benign (CVSS Score 6.6) at higit sa lahat ay teoretikal na interes lamang, dahil nangangailangan ito ng mga partikular na kundisyon para sa pagsasamantala - ang umaatake ay dapat na makapagsagawa ng mga pagbabago sa ang file ng mga setting Log4j, ibig sabihin. dapat magkaroon ng access sa inatakeng system at ang awtoridad na baguhin ang halaga ng parameter ng pagsasaayos ng log4j2.configurationFile o gumawa ng mga pagbabago sa mga kasalukuyang file na may mga setting ng pag-log.
Ang pag-atake ay bumababa sa pagtukoy ng configuration na nakabatay sa JDBC Appender sa lokal na sistema na tumutukoy sa isang panlabas na JNDI URI, kapag hiniling kung saan maaaring ibalik ang isang Java class para sa pagpapatupad. Bilang default, hindi naka-configure ang JDBC Appender para pangasiwaan ang mga hindi Java na protocol, ibig sabihin. Nang hindi binabago ang pagsasaayos, imposible ang pag-atake. Bilang karagdagan, ang isyu ay nakakaapekto lamang sa log4j-core JAR at hindi nakakaapekto sa mga application na gumagamit ng log4j-api JAR na walang log4j-core. ...
Pinagmulan: opennet.ru