Vlákno názorů k článku
Log4j 2.15.0 a 1.x jsou stále zranitelné, aktualizujte na 2.16.0 od Deafboy - Zacinam v tom mat riadny gulas. CVE-2021-4104 a...

Zacinam v tom mat riadny gulas. CVE-2021-4104 a CVE-2021-42550 hovoria, ze je nutne aby mal utocnik write pristup ku konfiguracii. Kedze cely java ekosystem je pre mna jedna velka zahada, je toto nieco co v praxi moze nastat?

Ak mam opravnenia k uprave konfiguraku, ktory je vacsinou vlastneny uzivatelom, pod ktorym bezi aplikacia, tak mam pristup aj k samotnej aplikacii a mozem narobit neplechu aj bez log4j... Opravte ma, ak sa mylim.

Je to jak píšete. Problém by třeba mohl nastat, pokud jde o webovou aplikaci, která umožňuje upload souborů, nehlídá si cesty a umožnila by uživateli uploadovat soubor do umístění, kde je konfigurace logování. A přesně jak píšete, obvykle bude ta konfigurace taková, že by útočník v takovém případě mohl přepsat i celou aplikaci. Nicméně mohou být takové instalace, že samotná aplikace bude pro uživatele, pod kterým běží, pro čtení, ale konfigurační soubor by mohl být pro zápis (protože se často dostává na místo jinou cestou, než samotná aplikace – aplikace je stejná na mnoha místech, ale právě konfigurační soubory se liší). Proto je také hodnocení těch chyb poměrně nízké.