Yo te dekouvri yon lòt vilnerabilite pou Log4j epi Fondasyon Apache te lage yon lòt patch. Version Log4j 2.17.1 ta dwe ankò ranje ekzekisyon kòd aleka.
Yo jwenn vilnerabilite kounye a, CVE-2021-44832, pou Log4j nan vèsyon 2.17.0. Vilnerabilite a pèmèt entru ki gen pèmisyon pou modifye fichye konfigirasyon anrejistreman an pou mete kanpe yon konfigirasyon move pou ekzekisyon kòd aleka.
Vilnerabilite yo jwenn kounye a afekte tout vèsyon, ki gen ladan sa ki resan yo, soti nan Log4j 2.0-alpha rive nan 2.17.0. Se sèlman vèsyon 2.3.2 ak 2.12.4 ki pa afekte.
Restriksyon non sous done JDNI
Patch la fèmen vilnerabilite a pa, pami lòt bagay, limite non sous done JDNI yo nan Log4j nan vèsyon 2.17.1 ak plak anvan yo nan pwotokòl Java a. Sa a aplike tou pou vèsyon 2.12.4 pou Java 8 ak 2.3.2 pou Java 6.
Plis frajilite Log4j espere
Chèchè yo te idantifye vilnerabilite a lè l sèvi avèk zouti estanda analiz kòd estatik konbine avèk ankèt manyèl. Dapre ekspè yo, vilnerabilite yo jwenn se pa tankou move jan li sanble, men plak yo dwe aplike. Yo espere plis frajilite Log4j vin parèt nan fiti prè. Sa yo pral nan kou tou gen yo dwe patched.