Er is opnieuw een kwetsbaarheid ontdekt voor Log4j en de Apache Foundation heeft daarom wederom een patch uitgebracht. Versie Log4j 2.17.1 moet ook nu weer het uitvoeren van code op afstand repareren.

De nu gevonden kwetsbaarheid, CVE-2021-44832, voor Log4j is gevonden in versie 2.17.0. De kwetsbaarheid maakt het mogelijk dat hackers die toestemming hebben het logging configuratiebestand te wijzigen, een kwaadaardige configuratie kunnen opzetten voor het uitvoeren van code op afstand.

De nu aangetroffen kwetsbaarheid treft alle versies, inclusief de recente, van Log4j 2.0-alpha tot 2.17.0. Alleen versies 2.3.2 en 2.12.4 worden niet getroffen.

Beperking JDNI data source names

Met de patch wordt de kwetsbaarheid gedicht door onder meer de JDNI data source names in Log4j in versie 2.17.1 en eerdere patches naar het Java-protocol te beperken. Ook geldt dit voor versie 2.12.4 voor Java 8 en 2.3.2 voor Java 6.

Meer Log4j-kwetsbaarheden verwacht

Onderzoekers kwamen de kwetsbaarheid op het spoor met behulp van standaard analyse tools voor statische code in combinatie met handmatig onderzoek. De gevonden kwetsbaarheid is volgens experts niet zo heel kwaadaardig als het lijkt, maar de patches moeten wel worden doorgevoerd. Zij verwachten er de komende tijd nog meer Log4j-kwetsbaarheden aan het licht zullen komen. Die zullen dan uiteraard ook gepatched moeten worden.