Kerentanan lain telah ditemukan untuk Log4j dan oleh karena itu Apache Foundation telah merilis patch lain. Versi Log4j 2.17.1 sekali lagi harus memperbaiki eksekusi kode jarak jauh.
Kerentanan yang sekarang ditemukan, CVE-2021-44832, untuk Log4j ditemukan di versi 2.17.0. Kerentanan memungkinkan peretas yang memiliki izin untuk memodifikasi file konfigurasi logging untuk mengatur konfigurasi berbahaya untuk eksekusi kode jarak jauh.
Kerentanan yang sekarang ditemukan mempengaruhi semua versi, termasuk yang terbaru, dari Log4j 2.0-alpha hingga 2.17.0. Hanya versi 2.3.2 dan 2.12.4 yang tidak terpengaruh.
Pembatasan nama sumber data JDNI
Patch menutup kerentanan dengan, antara lain, membatasi nama sumber data JDNI di Log4j di versi 2.17.1 dan patch sebelumnya ke protokol Java. Ini juga berlaku untuk versi 2.12.4 untuk Java 8 dan 2.3.2 untuk Java 6.
Lebih banyak kerentanan Log4j diharapkan
Peneliti mengidentifikasi kerentanan menggunakan alat analisis kode statis standar yang dikombinasikan dengan penyelidikan manual. Menurut para ahli, kerentanan yang ditemukan tidak sejahat kelihatannya, tetapi tambalan harus diterapkan. Mereka mengharapkan lebih banyak kerentanan Log4j terungkap dalam waktu dekat. Ini tentu saja juga harus ditambal.