Открита е друга уязвимост за Log4j и затова Apache Foundation пусна още една корекция. Версия Log4j 2.17.1 трябва отново да коригира отдалеченото изпълнение на код.
Сега откритата уязвимост, CVE-2021-44832, за Log4j се намира във версия 2.17.0. Уязвимостта позволява на хакерите, които имат разрешение да променят конфигурационния файл за регистриране, да настроят злонамерена конфигурация за отдалечено изпълнение на код.
Сега откритата уязвимост засяга всички версии, включително последните, от Log4j 2.0-alpha до 2.17.0. Само версии 2.3.2 и 2.12.4 не са засегнати.
Ограничение на имена на източници на данни за JDNI
Корекцията затваря уязвимостта чрез, наред с други неща, ограничаване на имената на източниците на данни JDNI в Log4j във версия 2.17.1 и предишни корекции към протокола Java. Това важи и за версия 2.12.4 за Java 8 и 2.3.2 за Java 6.
Очакват се още Log4j уязвимости
Изследователите идентифицираха уязвимостта, използвайки стандартни инструменти за статичен код за анализ, комбинирани с ръчно разследване. Според експерти откритата уязвимост не е толкова злонамерена, колкото изглежда, но пачовете трябва да бъдат внедрени. Очакват в близко бъдеще да излязат наяве повече уязвимости на Log4j. Разбира се, те също ще трябва да бъдат закърпени.