Nog 'n kwesbaarheid is vir Log4j ontdek en die Apache-stigting het dus nog 'n pleister vrygestel. Weergawe Log4j 2.17.1 behoort die uitvoering van afgeleë kode weer reg te stel.
Die nou-gevonde kwesbaarheid, CVE-2021-44832, vir Log4j word in weergawe 2.17.0 gevind. Die kwesbaarheid laat kuberkrakers wat toestemming het om die logging-konfigurasielêer te wysig 'n kwaadwillige konfigurasie op te stel vir die uitvoering van afstandkode-uitvoering.
Die kwesbaarheid wat nou gevind is, raak alle weergawes, insluitend die onlangse, van Log4j 2.0-alpha tot 2.17.0. Slegs weergawes 2.3.2 en 2.12.4 word nie geraak nie.
Beperking JDNI databron name
Die pleister sluit die kwesbaarheid deur onder meer die JDNI-databronname in Log4j in weergawe 2.17.1 en vorige pleisters tot die Java-protokol te beperk. Dit geld ook vir weergawe 2.12.4 vir Java 8 en 2.3.2 vir Java 6.
Meer Log4j-kwesbaarhede word verwag
Navorsers het die kwesbaarheid geïdentifiseer met behulp van standaard statiese kode-analise-instrumente gekombineer met handmatige ondersoek. Volgens kenners is die kwesbaarheid wat gevind is nie so kwaadwillig soos dit lyk nie, maar die pleisters moet geïmplementeer word. Hulle verwag dat meer Log4j-kwesbaarhede in die nabye toekoms aan die lig sal kom. Hierdie sal natuurlik ook gelap moet word.