Log4j 庫 2.17.1、2.3.2-rc1 和 2.12.4-rc1 的修正版本已發布,修復了另一個漏洞 (CVE-2021-44832)。據稱,該問題允許遠端程式碼執行 (RCE),但被標記為良性(CVSS 評分 6.6),並且主要僅具有理論意義,因為它需要特定的利用條件 - 攻擊者必須能夠更改設定檔 Log4j,即必須有權存取受攻擊的系統,並有權更改 log4j2.configurationFile 配置參數的值或使用日誌記錄設定更改現有檔案。
此攻擊歸結為在本機系統上定義基於 JDBC Appender 的配置,該配置引用外部 JNDI URI,根據請求可以傳回 Java 類別以供執行。預設情況下,JDBC Appender 未配置為處理非 Java 協議,即如果不改變配置,攻擊是不可能的。此外,此問題僅影響 log4j-core JAR,不會影響使用不含 log4j-core 的 log4j-api JAR 的應用程式。 ...
來源: opennet.ru