Aggiornamento Alert GCSA-21132 - Vulnerabilita' nelle librerie Apache Log4j - Ancora una nuovo RCE/patch
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-21132
Data: 14, 18 e 29 Dicembre 2021
Titolo: Aggiornamento Alert - Vulnerabilita' nelle librerie Apache Log4j - Ancora una nuovo RCE/patch
******************************************************************
:: Descrizione del problema
E' stata riscontrata una nuova ulteriore vulnerabilita' nell'ultima
versione di Apache log4j 2.17.0.
La vulnerabilita' puo' essere sfruttata da un attaccante che abbia i
privilegi di modifica sulla configurazione di logging, tramite il modulo
JDBC appender e un JNDI URI che puo' eseguire codice, e consente l'esecuzione
da remoto di codice arbitrario (RCE)
In questo caso la vulnerabilita' e' un po' piu' difficile da sfruttare,
perche' necessita di un utente che abbia privilegi di modifica della
configurazione, per questo ha uno score CVSS...