Các bản phát hành khắc phục của thư viện Log4j 2.17.1, 2.3.2-rc1 và 2.12.4-rc1 đã được phát hành, giúp khắc phục một lỗ hổng khác (CVE-2021-44832). Người ta đề cập rằng vấn đề cho phép thực thi mã từ xa (RCE), nhưng được đánh dấu là lành tính (CVSS Score 6.6) và chủ yếu chỉ quan tâm về mặt lý thuyết vì nó yêu cầu các điều kiện cụ thể để khai thác - kẻ tấn công phải có khả năng thực hiện các thay đổi đối với tệp cài đặt Log4j, tức là. phải có quyền truy cập vào hệ thống bị tấn công và có quyền thay đổi giá trị của tham số cấu hình log4j2.configurationFile hoặc thực hiện thay đổi đối với các tệp hiện có bằng cài đặt ghi nhật ký.
Cuộc tấn công tập trung vào việc xác định cấu hình dựa trên JDBC Appender trên hệ thống cục bộ tham chiếu đến URI JNDI bên ngoài, theo yêu cầu mà lớp Java có thể được trả về để thực thi. Theo mặc định, JDBC Appender không được cấu hình để xử lý các giao thức không phải Java, tức là. Nếu không thay đổi cấu hình thì cuộc tấn công là không thể. Ngoài ra, sự cố này chỉ ảnh hưởng đến JAR log4j-core và không ảnh hưởng đến các ứng dụng sử dụng JAR log4j-api mà không có log4j-core. ...
Nguồn: opennet.ru