Một lỗ hổng khác đã được phát hiện cho Log4j và Apache Foundation do đó đã phát hành một bản vá khác. Phiên bản Log4j 2.17.1 sẽ sửa lỗi thực thi mã từ xa một lần nữa.
Lỗ hổng bảo mật hiện được tìm thấy, CVE-2021-44832, cho Log4j được tìm thấy trong phiên bản 2.17.0. Lỗ hổng cho phép tin tặc có quyền sửa đổi tệp cấu hình ghi nhật ký để thiết lập cấu hình độc hại để thực thi mã từ xa.
Lỗ hổng bảo mật hiện được tìm thấy ảnh hưởng đến tất cả các phiên bản, bao gồm cả những phiên bản gần đây, từ Log4j 2.0-alpha đến 2.17.0. Chỉ có phiên bản 2.3.2 và 2.12.4 là không bị ảnh hưởng.
Hạn chế tên nguồn dữ liệu JDNI
Bản vá đóng lỗ hổng bảo mật bằng cách giới hạn tên nguồn dữ liệu JDNI trong Log4j trong phiên bản 2.17.1 và các bản vá trước đó đối với giao thức Java. Điều này cũng áp dụng cho phiên bản 2.12.4 cho Java 8 và 2.3.2 cho Java 6.
Dự kiến có nhiều lỗ hổng Log4j hơn
Các nhà nghiên cứu đã xác định lỗ hổng bằng cách sử dụng các công cụ phân tích mã tĩnh tiêu chuẩn kết hợp với điều tra thủ công. Theo các chuyên gia, lỗ hổng được tìm thấy không độc hại như người ta tưởng, nhưng các bản vá phải được thực hiện. Họ mong đợi nhiều lỗ hổng Log4j được đưa ra ánh sáng trong tương lai gần. Những thứ này tất nhiên cũng sẽ phải được vá.