Log4jに別の脆弱性が発見されたため、ApacheFoundationは別のパッチをリリースしました。 バージョンLog4j2.17.1は、リモートコード実行を再度修正する必要があります。
Log2021jで現在見つかっている脆弱性、CVE-44832-4は、バージョン2.17.0にあります。 この脆弱性により、ログ設定ファイルを変更する権限を持つハッカーが、リモートでコードを実行するための悪意のある設定を設定する可能性があります。
現在見つかっている脆弱性は、Log4j2.0-alphaから2.17.0までの最近のバージョンを含むすべてのバージョンに影響します。 バージョン2.3.2および2.12.4のみが影響を受けません。
制限JDNIデータソース名
このパッチは、特に、バージョン4のLog2.17.1jのJDNIデータソース名と以前のパッチをJavaプロトコルに制限することにより、脆弱性を解消します。 これは、Java2.12.4のバージョン8およびJava2.3.2の6にも適用されます。
より多くのLog4jの脆弱性が予想されます
研究者は、手動調査と組み合わせた標準の静的コード分析ツールを使用して脆弱性を特定しました。 専門家によると、発見された脆弱性は見た目ほど悪意はありませんが、パッチを実装する必要があります。 彼らは、近い将来、さらに多くのLog4jの脆弱性が明らかになることを期待しています。 もちろん、これらにもパッチを適用する必要があります。