Apache publie un nouveau correctif 2.17.1 pour la vulnérabilité Log4j

Une autre vulnérabilité a été découverte pour Log4j et la Fondation Apache a donc publié un autre patch. Version Log4j 2.17.1 devrait à nouveau corriger l'exécution du code à distance.

La vulnérabilité désormais découverte, CVE-2021-44832, pour Log4j se trouve dans la version 2.17.0. La vulnérabilité permet aux pirates qui ont la permission de modifier le fichier de configuration de journalisation de mettre en place une configuration malveillante pour l'exécution de code à distance.

La vulnérabilité maintenant trouvée affecte toutes les versions, y compris les plus récents, de Log4j 2.0-alpha à 2.17.0. Seules les versions 2.3.2 et 2.12.4 ne sont pas affectés.

Restriction des noms de source de données JDNI

Le correctif ferme la vulnérabilité en, entre autres, limiter les noms de source de données JDNI dans Log4j en version 2.17.1 et les correctifs précédents au protocole Java. Ceci s'applique également à la version 2.12.4 pour Java 8 et 2.3.2 pour Java 6.

Plus de vulnérabilités Log4j attendues

Les chercheurs ont identifié la vulnérabilité à l'aide d'outils d'analyse de code statique standard combinés à une enquête manuelle. D'après les experts, la vulnérabilité trouvée n'est pas aussi malveillante qu'il y paraît, mais les correctifs doivent être mis en œuvre. Ils s'attendent à ce que d'autres vulnérabilités de Log4j soient révélées dans un proche avenir. Ceux-ci devront bien sûr également être patchés.