Apache publie un nouveau patch 2.17.1 pour la vulnérabilité Log4j

Une autre vulnérabilité a été découverte pour Log4j et la Fondation Apache a donc publié un autre correctif. La version Log4j 2.17.1 devrait à nouveau corriger l'exécution de code à distance.

La vulnérabilité désormais découverte, CVE-2021-44832, pour Log4j se trouve dans la version 2.17.0. La vulnérabilité permet aux pirates autorisés à modifier le fichier de configuration de journalisation de mettre en place une configuration malveillante pour l'exécution de code à distance.

La vulnérabilité maintenant trouvée affecte toutes les versions, y compris les plus récentes, de Log4j 2.0-alpha à 2.17.0. Seules les versions 2.3.2 et 2.12.4 ne sont pas concernées.

Restriction des noms de source de données JDNI

Le correctif corrige la vulnérabilité, entre autres, en limitant les noms de source de données JDNI dans Log4j dans la version 2.17.1 et les correctifs précédents au protocole Java. Ceci s'applique également à la version 2.12.4 pour Java 8 et 2.3.2 pour Java 6.

Plus de vulnérabilités Log4j attendues

Les chercheurs ont identifié la vulnérabilité à l'aide d'outils d'analyse de code statique standard combinés à une enquête manuelle. Selon les experts, la vulnérabilité trouvée n'est pas aussi malveillante qu'il n'y paraît, mais les correctifs doivent être implémentés. Ils s'attendent à ce que davantage de vulnérabilités Log4j soient découvertes dans un avenir proche. Ceux-ci devront bien sûr également être patchés.