Log4j لائبریری 2.17.1، 2.3.2-rc1 اور 2.12.4-rc1 کی اصلاحی ریلیز شائع ہو چکی ہیں، جو ایک اور خطرے کو دور کرتی ہیں (CVE-2021-44832)۔ یہ ذکر کیا گیا ہے کہ مسئلہ ریموٹ کوڈ پر عمل درآمد (RCE) کی اجازت دیتا ہے، لیکن اسے بے نظیر (CVSS سکور 6.6) کے طور پر نشان زد کیا گیا ہے اور یہ بنیادی طور پر صرف نظریاتی دلچسپی کا حامل ہے، کیونکہ اس کے لیے استحصال کے لیے مخصوص شرائط کی ضرورت ہوتی ہے - حملہ آور کو تبدیلیاں کرنے کے قابل ہونا چاہیے۔ ترتیبات کی فائل Log4j، یعنی حملہ شدہ سسٹم تک رسائی اور log4j2.configurationFile کنفیگریشن پیرامیٹر کی قدر کو تبدیل کرنے یا لاگنگ سیٹنگ کے ساتھ موجودہ فائلوں میں تبدیلیاں کرنے کا اختیار ہونا ضروری ہے۔
یہ حملہ مقامی نظام پر JDBC ضمیمہ پر مبنی ترتیب کی وضاحت کرنے کے لئے ابلتا ہے جو ایک بیرونی JNDI URI کا حوالہ دیتا ہے، جس کی درخواست پر عملدرآمد کے لئے جاوا کلاس واپس کیا جا سکتا ہے۔ پہلے سے طے شدہ طور پر، JDBC Appender غیر جاوا پروٹوکول کو ہینڈل کرنے کے لیے ترتیب نہیں دیا گیا ہے، یعنی ترتیب کو تبدیل کیے بغیر، حملہ ناممکن ہے۔ مزید برآں، مسئلہ صرف log4j-core JAR کو متاثر کرتا ہے اور log4j-core کے بغیر log4j-api JAR استعمال کرنے والی ایپلیکیشنز کو متاثر نہیں کرتا ہے۔ ...
ماخذ: opennet.ru