Log4j-ისთვის კიდევ ერთი დაუცველობა აღმოაჩინეს და Apache Foundation-მა გამოუშვა კიდევ ერთი პაჩი. ვერსია Log4j 2.17.1 კვლავ უნდა დააფიქსიროს კოდის დისტანციური შესრულება.
ახლა ნაპოვნი დაუცველობა, CVE-2021-44832, Log4j-სთვის არის ნაპოვნი 2.17.0 ვერსიაში. დაუცველობა საშუალებას აძლევს ჰაკერებს, რომლებსაც აქვთ ნებართვა შეცვალონ ლოგის კონფიგურაციის ფაილი, დააყენონ მავნე კონფიგურაცია დისტანციური კოდის შესრულებისთვის.
ახლა ნაპოვნი დაუცველობა გავლენას ახდენს ყველა ვერსიაზე, მათ შორის ბოლო ვერსიაზე, Log4j 2.0-alpha-დან 2.17.0-მდე. მხოლოდ 2.3.2 და 2.12.4 ვერსიები არ არის დაზარალებული.
შეზღუდვა JDNI მონაცემთა წყაროს სახელები
პატჩი ხურავს დაუცველობას, სხვა საკითხებთან ერთად, ზღუდავს JDNI მონაცემთა წყაროს სახელებს Log4j-ში 2.17.1 ვერსიაში და Java პროტოკოლის წინა პატჩებში. ეს ასევე ეხება 2.12.4 ვერსიას Java 8-ისთვის და 2.3.2 Java 6-ისთვის.
მოსალოდნელია მეტი Log4j დაუცველობა
მკვლევარებმა გამოავლინეს დაუცველობა სტანდარტული სტატიკური კოდის ანალიზის ხელსაწყოების გამოყენებით, ხელით გამოძიებასთან ერთად. ექსპერტების აზრით, აღმოჩენილი დაუცველობა არ არის ისეთი მავნე, როგორც ჩანს, მაგრამ პატჩები უნდა განხორციელდეს. ისინი ელიან მეტი Log4j დაუცველობის გამოვლენას უახლოეს მომავალში. ესენი, რა თქმა უნდა, ასევე უნდა გასწორდეს.