Log4j: wykryto kolejny RCE w 2.17.0. Ale nie ma powodów do paniki (CVE-2021-44832)

Opis podatności jest dość enigmatyczny: Apache Log4j2 vulnerable to RCE via JDBC Appender when attacker controls configuration.

Z jednej strony jest to RCE (remote code execution), czyli możliwość wykonania kodu po stronie serwera, z drugiej strony powaga podatności (skala CVSS) została oszacowana na 6.6/10.

Dlaczego nie 10/10 jak w przypadku oryginalnej podatności log4shell? Otóż atakujący do wykorzystania luki musi mieć możliwość modyfikacji pliku konfiguracyjnego log4j (po stronie serwera), co normalnie nie jest możliwe.

Można więc założyć, że systemy z domyślną konfiguracją log4j (w wersji 2.17.0) nie są podatne. Tak czy siak warto rozważyć łatanie.

~Michał Sajdak