Log4j साठी आणखी एक भेद्यता शोधली गेली आहे आणि म्हणून Apache Foundation ने दुसरा पॅच जारी केला आहे. आवृत्ती Log4j 2.17.1 ने पुन्हा रिमोट कोड अंमलबजावणीचे निराकरण केले पाहिजे.
Log2021j साठी आता आढळलेली भेद्यता, CVE-44832-4 आवृत्ती २.१७.० मध्ये आढळते. असुरक्षा दूरस्थ कोड अंमलबजावणीसाठी दुर्भावनापूर्ण कॉन्फिगरेशन सेट करण्यासाठी लॉगिंग कॉन्फिगरेशन फाइल सुधारित करण्याची परवानगी असलेल्या हॅकर्सना अनुमती देते.
आता आढळलेली भेद्यता Log4j 2.0-alpha पासून 2.17.0 पर्यंतच्या अलीकडील आवृत्त्यांसह सर्व आवृत्त्यांवर परिणाम करते. फक्त आवृत्त्या 2.3.2 आणि 2.12.4 प्रभावित होत नाहीत.
प्रतिबंध JDNI डेटा स्रोत नावे
पॅच इतर गोष्टींबरोबरच, आवृत्ती 4 मधील Log2.17.1j मधील JDNI डेटा स्रोत नावे आणि Java प्रोटोकॉलमध्ये मागील पॅच मर्यादित करून भेद्यता बंद करते. हे Java 2.12.4 साठी आवृत्ती 8 आणि Java 2.3.2 साठी 6 वर देखील लागू होते.
अधिक Log4j भेद्यता अपेक्षित आहे
संशोधकांनी मॅन्युअल तपासणीसह मानक स्टॅटिक कोड विश्लेषण साधनांचा वापर करून भेद्यता ओळखली. तज्ञांच्या मते, आढळलेली भेद्यता दिसते तितकी दुर्भावनापूर्ण नाही, परंतु पॅचची अंमलबजावणी करणे आवश्यक आहे. नजीकच्या भविष्यात आणखी Log4j भेद्यता प्रकाशात येण्याची त्यांची अपेक्षा आहे. हे देखील अर्थातच पॅच करावे लागतील.