Для Log4j была обнаружена еще одна уязвимость, поэтому Apache Foundation выпустила еще один патч. Версия Log4j 2.17.1 должна снова исправить удаленное выполнение кода.
Найденная уязвимость CVE-2021-44832 для Log4j обнаружена в версии 2.17.0. Уязвимость позволяет хакерам, имеющим разрешение на изменение файла конфигурации ведения журнала, настроить вредоносную конфигурацию для удаленного выполнения кода.
Найденная уязвимость затрагивает все версии, в том числе последние, от Log4j 2.0-alpha до 2.17.0. Только версии 2.3.2 и 2.12.4 не затронуты.
Ограничение Имена источников данных JDNI
Патч закрывает уязвимость, среди прочего, ограничивая имена источников данных JDNI в Log4j в версии 2.17.1 и предыдущих патчах протоколом Java. Это также относится к версии 2.12.4 для Java 8 и 2.3.2 для Java 6.
Ожидается больше уязвимостей Log4j
Исследователи выявили уязвимость, используя стандартные инструменты статического анализа кода в сочетании с ручным расследованием. По словам экспертов, найденная уязвимость не так опасна, как кажется, но патчи необходимо внедрить. Они ожидают, что в ближайшем будущем обнаружится больше уязвимостей Log4j. Их, конечно, тоже придется исправлять.