Log4j kütüphanesi 2.17.1, 2.3.2-rc1 ve 2.12.4-rc1'in başka bir güvenlik açığını gideren düzeltici sürümleri yayınlandı (CVE-2021-44832). Sorunun uzaktan kod yürütmeye (RCE) izin verdiği, ancak zararsız olarak işaretlendiği (CVSS Puanı 6.6) ve esas olarak yalnızca teorik olarak ilgi çekici olduğu, çünkü istismar için belirli koşullar gerektirdiğinden - saldırganın kodda değişiklik yapabilmesi gerektiğinden bahsediliyor. ayarlar dosyası Log4j, yani. Saldırılan sisteme erişimin olması ve log4j2.configurationFile yapılandırma parametresinin değerini değiştirme veya günlük ayarlarıyla mevcut dosyalarda değişiklik yapma yetkisine sahip olması gerekir.
Saldırı, yerel sistemde harici bir JNDI URI'ye atıfta bulunan ve talep üzerine bir Java sınıfının yürütme için döndürülebileceği JDBC Appender tabanlı bir yapılandırmanın tanımlanmasından ibarettir. Varsayılan olarak JDBC Appender, Java dışı protokolleri işleyecek şekilde yapılandırılmamıştır; Yapılandırmayı değiştirmeden saldırı imkansızdır. Ayrıca sorun yalnızca log4j çekirdekli JAR'ı etkiler ve log4j çekirdeği olmayan log4j-api JAR'ı kullanan uygulamaları etkilemez. ...
Kaynak: opennet.ru