Se ha descubierto otra vulnerabilidad para Log4j y, por lo tanto, Apache Foundation ha lanzado otro parche. La versión Log4j 2.17.1 debería volver a corregir la ejecución remota de código.
La vulnerabilidad encontrada ahora, CVE-2021-44832, para Log4j se encuentra en la versión 2.17.0. La vulnerabilidad permite a los piratas informáticos que tienen permiso para modificar el archivo de configuración de registro establecer una configuración maliciosa para la ejecución remota de código.
La vulnerabilidad ahora encontrada afecta a todas las versiones, incluidas las recientes, desde Log4j 2.0-alpha hasta 2.17.0. Solo las versiones 2.3.2 y 2.12.4 no se ven afectadas.
Restricción de nombres de origen de datos JDNI
El parche cierra la vulnerabilidad, entre otras cosas, limitando los nombres de fuentes de datos JDNI en Log4j en la versión 2.17.1 y parches anteriores al protocolo Java. Esto también se aplica a la versión 2.12.4 para Java 8 y 2.3.2 para Java 6.
Se esperan más vulnerabilidades Log4j
Los investigadores identificaron la vulnerabilidad utilizando herramientas estándar de análisis de código estático combinadas con una investigación manual. Según los expertos, la vulnerabilidad encontrada no es tan maliciosa como parece, pero se deben implementar los parches. Esperan que salgan a la luz más vulnerabilidades de Log4j en un futuro próximo. Estos, por supuesto, también tendrán que ser parcheados.