Otkrivena je još jedna ranjivost za Log4j i Apache Foundation je stoga izdao još jednu zakrpu. Verzija Log4j 2.17.1 trebala bi ponovno popraviti udaljeno izvršavanje koda.
Sada pronađena ranjivost, CVE-2021-44832, za Log4j nalazi se u verziji 2.17.0. Ranjivost omogućuje hakerima koji imaju dopuštenje za izmjenu konfiguracijske datoteke zapisivanja da postave zlonamjernu konfiguraciju za daljinsko izvršavanje koda.
Pronađena ranjivost utječe na sve verzije, uključujući najnovije, od Log4j 2.0-alpha do 2.17.0. To ne utječe samo na verzije 2.3.2 i 2.12.4.
Ograničenje imena izvora podataka JDNI
Zakrpa zatvara ranjivost, između ostalog, ograničavanjem imena izvora podataka JDNI u Log4j u verziji 2.17.1 i prethodnim zakrpama na Java protokol. To se također odnosi na verziju 2.12.4 za Javu 8 i 2.3.2 za Javu 6.
Očekuje se više Log4j ranjivosti
Istraživači su identificirali ranjivost koristeći standardne alate za statičku analizu koda u kombinaciji s ručnim istraživanjem. Prema riječima stručnjaka, pronađena ranjivost nije tako zlonamjerna kako se čini, ali zakrpe se moraju implementirati. Očekuju da će u bliskoj budućnosti na vidjelo doći više Log4j ranjivosti. I ovi će se naravno morati zakrpati.