Log4j jaoks on avastatud veel üks haavatavus ja seetõttu on Apache Foundation välja andnud uue paiga. Versioon Log4j 2.17.1 peaks taas parandama koodi kaugkäitamise.
Nüüd leitud haavatavus CVE-2021-44832 Log4j jaoks on leitud versioonist 2.17.0. See haavatavus võimaldab häkkeritel, kellel on logimise konfiguratsioonifaili muutmise luba, seadistada pahatahtliku konfiguratsiooni koodi kaugkäivitamiseks.
Nüüd leitud haavatavus mõjutab kõiki versioone, sealhulgas uusimaid, alates Log4j 2.0-alphast kuni versioonini 2.17.0. See ei mõjuta ainult versioone 2.3.2 ja 2.12.4.
JDNI andmeallikate nimede piiramine
Plaaster sulgeb haavatavuse, piirates muuhulgas JDNI andmeallika nimesid Log4j-s versioonis 2.17.1 ja Java-protokolli eelmistes paikades. See kehtib ka versiooni 2.12.4 kohta Java 8 ja 2.3.2 kohta Java 6 jaoks.
Oodata on rohkem Log4j haavatavusi
Teadlased tuvastasid haavatavuse standardsete staatilise koodianalüüsi tööriistade abil koos käsitsi uurimisega. Ekspertide hinnangul pole leitud haavatavus nii pahatahtlik, kui pealtnäha paistab, kuid paigad tuleb juurutada. Nad eeldavad, et lähitulevikus tuleb päevavalgele rohkem Log4j haavatavusi. Neid tuleb loomulikult ka lappida.