ለ Log4j ሌላ ተጋላጭነት ተገኝቷል እና Apache Foundation ስለዚህ ሌላ መጣፊያ ለቋል። ስሪት Log4j 2.17.1 የርቀት ኮድ አፈጻጸምን እንደገና ማስተካከል አለበት።
አሁን የተገኘው ተጋላጭነት፣ CVE-2021-44832፣ ለ Log4j በስሪት 2.17.0 ይገኛል። ተጋላጭነቱ የመመዝገቢያ ውቅረት ፋይሉን እንዲቀይሩ ፈቃድ ያላቸው ሰርጎ ገቦች በርቀት ኮድ አፈጻጸም ላይ ተንኮል አዘል ውቅር እንዲያዘጋጁ ያስችላቸዋል።
አሁን የተገኘው ተጋላጭነት ከLog4j 2.0-alpha እስከ 2.17.0 ያሉትን ጨምሮ ሁሉንም ስሪቶች ይነካል። ስሪቶች 2.3.2 እና 2.12.4 ብቻ አልተነኩም.
JDNI ውሂብ ምንጭ ስሞች ገደብ
ፕላስተር ከሌሎች ነገሮች በተጨማሪ የ JDNI ውሂብ ምንጭ ስሞችን በ Log4j በስሪት 2.17.1 እና ቀደም ሲል በጃቫ ፕሮቶኮል ላይ በመገደብ ተጋላጭነቱን ይዘጋል። ይህ ለጃቫ 2.12.4 ስሪት 8 እና 2.3.2 ለጃቫ 6 ላይም ይሠራል።
ተጨማሪ Log4j ተጋላጭነቶች ይጠበቃሉ።
ተመራማሪዎች ተጋላጭነቱን ለይተው አውቀዋል መደበኛ የስታቲክ ኮድ ትንተና መሳሪያዎች ከእጅ ምርመራ ጋር ተጣምረው። እንደ ባለሙያዎች ገለጻ፣ የተገኘው ተጋላጭነት የሚመስለውን ያህል ተንኮለኛ አይደለም፣ ነገር ግን ንጣፎቹ መተግበር አለባቸው። በቅርብ ጊዜ ውስጥ ተጨማሪ የ Log4j ተጋላጭነቶች ወደ ብርሃን እንደሚመጡ ይጠብቃሉ። እነዚህም እንዲሁ መታጠፍ አለባቸው።