Проектът Apache пусна още един пач за компонента Log4j. Новата версия се казва Log4j 2.17.1 и коригира уязвимост, открита в предишната версия. За щастие, тя не е толкова опасна като първоначалната.
Компонентът за събиране на логове привлече вниманието в началото на декември, когато в него беше открита сериозна уязвимост, позволяваща изпълнение на произволен код от отдалечени машини. Грешката в компонента беше отстранена, но новата версия разкри свои проблеми, макар и не толкова опасни. След това излезе друга актуализация със същите цели. Новата версия Log4j 2.17.1 коригира предишната уязвимост, която получи номер CVE-2021-44832 и оценка 6,6 от 10.
Грешка в предишната версия на компонента отново позволи дистанционното изпълнение на код – този път поради липсата на елементи за управление на достъпа до инструмента JDNI в Log4j. Експлоатацията на тази уязвимост е много по-трудна от предишната – изисква се достъп до конфигурационния файл. С негова помощ беше възможно задаването на източник на данни JNDI URI за отдалечено изпълнение на код.
Напомняме, че многобройните киберпрестъпници започнаха да използват първоначалната уязвимост на Log4Shell почти веднага след като тя беше открита. Под опасност дори се оказа марсианският хеликоптер Ingenuity, а някои хакери масово атакуваха HPE-сървърите за копаене на криптовалутата Raptoreum.