Awọn idasilẹ atunṣe ti ile-ikawe Log4j 2.17.1, 2.3.2-rc1 ati 2.12.4-rc1 ti ṣe atẹjade, eyiti o ṣatunṣe ailagbara miiran (CVE-2021-44832). O mẹnuba pe iṣoro naa ngbanilaaye fun ipaniyan koodu isakoṣo latọna jijin (RCE), ṣugbọn ti samisi bi aibikita (CVSS Score 6.6) ati pe o jẹ iwulo imọ-jinlẹ nikan, nitori o nilo awọn ipo kan pato fun ilokulo - ikọlu gbọdọ ni anfani lati ṣe awọn ayipada si faili eto Log4j, i.e. gbọdọ ni iwọle si eto ikọlu ati aṣẹ lati yi iye ti log4j2.configurationFile iṣeto ni paramita tabi ṣe awọn ayipada si awọn faili ti o wa pẹlu awọn eto gedu.
Ikọlu naa ṣan silẹ lati ṣe asọye iṣeto ti o da lori JDBC Appender lori eto agbegbe ti o tọka si JNDI URI ita, lori ibeere eyiti kilasi Java le ṣe pada fun ipaniyan. Nipa aiyipada, JDBC Appender ko ni tunto lati mu awọn ilana ti kii ṣe Java, i.e. Laisi iyipada iṣeto, kolu ko ṣee ṣe. Ni afikun, ọrọ naa kan log4j-core JAR nikan ati pe ko kan awọn ohun elo ti o lo log4j-api JAR laisi log4j-core. ...
orisun: opennet.ru