Apache brengt nieuwe patch uit 2.17.1 voor Log4j-kwetsbaarheid

Er is weer een kwetsbaarheid ontdekt voor Log4j en daarom heeft de Apache Foundation weer een patch uitgebracht. Versie Log4j 2.17.1 zou de uitvoering van externe code opnieuw moeten repareren.

De nu gevonden kwetsbaarheid, CVE-2021-44832, voor Log4j is te vinden in versie 2.17.0. Door het beveiligingslek kunnen hackers die toestemming hebben om het configuratiebestand voor logboekregistratie te wijzigen een kwaadaardige configuratie opzetten voor het uitvoeren van externe code.

De nu gevonden kwetsbaarheid treft alle versies, inclusief de recente, van Log4j 2.0-alpha naar 2.17.0. Alleen versies 2.3.2 en 2.12.4 worden niet beïnvloed.

Beperking JDNI-gegevensbronnamen

De patch sluit de kwetsbaarheid door:, onder andere, beperking van de JDNI-gegevensbronnamen in Log4j in versie 2.17.1 en eerdere patches voor het Java-protocol. Dit geldt ook voor versie 2.12.4 voor Java 8 en 2.3.2 voor Java 6.

Meer Log4j-kwetsbaarheden verwacht

Onderzoekers hebben de kwetsbaarheid geïdentificeerd met behulp van standaard statische code-analysetools in combinatie met handmatig onderzoek. Volgens experts, de gevonden kwetsbaarheid is niet zo kwaadaardig als het lijkt, maar de patches moeten worden geïmplementeerd. Ze verwachten dat er in de nabije toekomst meer Log4j-kwetsbaarheden aan het licht zullen komen. Deze zullen natuurlijk ook gepatcht moeten worden.