Apache lanza un nuevo parche 2.17.1 para la vulnerabilidad de Log4j

Se ha descubierto otra vulnerabilidad para Log4j y, por lo tanto, la Fundación Apache ha lanzado otro parche.. Versión Log4j 2.17.1 debería corregir de nuevo la ejecución remota del código.

La vulnerabilidad ahora encontrada, CVE-2021-44832, para Log4j se encuentra en la versión 2.17.0. La vulnerabilidad permite a los piratas informáticos que tienen permiso para modificar el archivo de configuración de registro para configurar una configuración maliciosa para la ejecución remota de código..

La vulnerabilidad ahora encontrada afecta a todas las versiones., incluyendo los recientes, de Log4j 2.0-alpha a 2.17.0. Solo versiones 2.3.2 y 2.12.4 no se ven afectados.

Restricción de nombres de fuentes de datos JDNI

El parche cierra la vulnerabilidad al, entre otras cosas, limitar los nombres de las fuentes de datos JDNI en Log4j en la versión 2.17.1 y parches anteriores al protocolo Java. Esto también se aplica a la versión 2.12.4 para Java 8 y 2.3.2 para Java 6.

Se esperan más vulnerabilidades de Log4j

Los investigadores identificaron la vulnerabilidad utilizando herramientas estándar de análisis de código estático combinadas con investigación manual.. Según los expertos, la vulnerabilidad encontrada no es tan maliciosa como parece, pero los parches deben implementarse. Esperan que salgan a la luz más vulnerabilidades de Log4j en un futuro próximo. Estos, por supuesto, también tendrán que ser parcheados..