Log4j 库 2.17.1、2.3.2-rc1 和 2.12.4-rc1 的修正版本已发布,修复了另一个漏洞 (CVE-2021-44832)。据称,该问题允许远程代码执行 (RCE),但被标记为良性(CVSS 评分 6.6),并且主要仅具有理论意义,因为它需要特定的利用条件 - 攻击者必须能够更改设置文件 Log4j,即必须有权访问受攻击的系统,并有权更改 log4j2.configurationFile 配置参数的值或使用日志记录设置更改现有文件。
该攻击归结为在本地系统上定义基于 JDBC Appender 的配置,该配置引用外部 JNDI URI,根据请求可以返回 Java 类以供执行。默认情况下,JDBC Appender 未配置为处理非 Java 协议,即如果不改变配置,攻击是不可能的。此外,该问题仅影响 log4j-core JAR,不会影响使用不带 log4j-core 的 log4j-api JAR 的应用程序。 ...
来源: opennet.ru