Er is weer een kwetsbaarheid ontdekt voor Log4j en daarom heeft de Apache Foundation weer een patch uitgebracht. Versie Log4j 2.17.1 zou de uitvoering van externe code opnieuw moeten repareren.
De nu gevonden kwetsbaarheid, CVE-2021-44832, voor Log4j is gevonden in versie 2.17.0. Door het beveiligingslek kunnen hackers die toestemming hebben om het configuratiebestand voor logboekregistratie te wijzigen, een schadelijke configuratie opzetten voor het uitvoeren van externe code.
De nu gevonden kwetsbaarheid treft alle versies, ook de recente, van Log4j 2.0-alpha tot 2.17.0. Alleen versies 2.3.2 en 2.12.4 worden niet beïnvloed.
Beperking JDNI-gegevensbronnamen
De patch dicht de kwetsbaarheid door onder meer de JDNI-gegevensbronnamen in Log4j in versie 2.17.1 en eerdere patches te beperken tot het Java-protocol. Dit geldt ook voor versie 2.12.4 voor Java 8 en 2.3.2 voor Java 6.
Meer Log4j-kwetsbaarheden verwacht
Onderzoekers identificeerden de kwetsbaarheid met behulp van standaard statische code-analysetools in combinatie met handmatig onderzoek. Volgens experts is de gevonden kwetsbaarheid niet zo kwaadaardig als het lijkt, maar moeten de patches wel worden geïmplementeerd. Ze verwachten dat er in de nabije toekomst meer Log4j-kwetsbaarheden aan het licht komen. Deze zullen natuurlijk ook gepatcht moeten worden.