S'ha descobert una altra vulnerabilitat per a Log4j i, per tant, la Fundació Apache ha llançat un altre pegat. La versió Log4j 2.17.1 hauria de tornar a solucionar l'execució de codi remot.
La vulnerabilitat que s'ha trobat, CVE-2021-44832, per a Log4j es troba a la versió 2.17.0. La vulnerabilitat permet als pirates informàtics que tenen permís per modificar el fitxer de configuració del registre per configurar una configuració maliciosa per a l'execució de codi remota.
La vulnerabilitat que es troba ara afecta totes les versions, incloses les recents, des de Log4j 2.0-alpha fins a la 2.17.0. Només les versions 2.3.2 i 2.12.4 no es veuen afectades.
Restricció de noms de fonts de dades JDNI
El pedaç tanca la vulnerabilitat limitant, entre altres coses, els noms de fonts de dades JDNI a Log4j a la versió 2.17.1 i els pedaços anteriors al protocol Java. Això també s'aplica a la versió 2.12.4 per a Java 8 i 2.3.2 per a Java 6.
S'esperen més vulnerabilitats Log4j
Els investigadors van identificar la vulnerabilitat mitjançant eines estàndard d'anàlisi de codi estàtic combinades amb una investigació manual. Segons els experts, la vulnerabilitat trobada no és tan maliciosa com sembla, però els pegats s'han d'implementar. Esperen que més vulnerabilitats de Log4j surtin a la llum en un futur proper. Aquests, per descomptat, també hauran de ser pegats.