Outra vulnerabilidade foi descoberta para o Log4j e, portanto, a Apache Foundation lançou outro patch. A versão Log4j 2.17.1 deve corrigir novamente a execução remota de código.
A vulnerabilidade agora encontrada, CVE-2021-44832, para Log4j é encontrada na versão 2.17.0. A vulnerabilidade permite que hackers que tenham permissão para modificar o arquivo de configuração de log definam uma configuração maliciosa para execução remota de código.
A vulnerabilidade agora encontrada afeta todas as versões, incluindo as recentes, do Log4j 2.0-alpha a 2.17.0. Apenas as versões 2.3.2 e 2.12.4 não são afetadas.
Nomes de fonte de dados JDNI de restrição
O patch fecha a vulnerabilidade, entre outras coisas, limitando os nomes de origem de dados JDNI no Log4j na versão 2.17.1 e em patches anteriores ao protocolo Java. Isso também se aplica à versão 2.12.4 para Java 8 e 2.3.2 para Java 6.
Mais vulnerabilidades do Log4j esperadas
Os pesquisadores identificaram a vulnerabilidade usando ferramentas padrão de análise de código estático combinadas com investigação manual. Segundo especialistas, a vulnerabilidade encontrada não é tão maliciosa quanto parece, mas os patches devem ser implementados. Eles esperam que mais vulnerabilidades do Log4j venham à tona em um futuro próximo. É claro que estes também terão que ser corrigidos.