Опубліковано коригувальні випуски бібліотеки Log4j 2.17.1, 2.3.2-rc1 та 2.12.4-rc1, у яких усунуто ще одну вразливість (CVE-2021-44832). Згадується, що проблема дозволяє організувати віддалене виконання коду (RCE), але при цьому позначена як безпечна (CVSS Score 6.6) і в основному представляє лише теоретичний інтерес, тому що вимагає специфічних умов для експлуатації – атакуючий повинен мати можливість внести зміну до файлу з налаштуваннями Log4j, тобто. повинен мати доступ до системи, що атакується, і повноваження змінювати значення параметра конфігурації log4j2.configurationFile або вносити зміни в існуючі файли з налаштуваннями для ведення лога.
Атака зводиться до визначення на локальній системі конфігурації на базі JDBC Appender, яка посилається на зовнішній JNDI URI, при запиті якого може бути повернений Java-клас для виконання. За замовчуванням JDBC Appender не налаштований для обробки протоколів, відмінних від Java, тобто. без зміни конфігурації атака неможлива. Крім того, проблема виявляється тільки в JAR-файлі log4j-core і не торкається програм, що використовують JAR-файл log4j-api без log4j-core. …
Джерело: opennet.ru