Проєкт Apache випустив ще одну латку для компонента Log4j. Нова версія Log4j 2.17.1 усуває вразливість, виявлену у попередній версії. На щастя, вона була не така небезпечна, як оригінальна.

Компонент збору журналів привернув до себе увагу на початку грудня, коли в ньому було виявлено серйозну вразливість, що дозволяє виконати довільний код із віддалених машин. Помилка в компоненті була виправлена, але в новій версії виявилися власні проблеми, хоч і не такі небезпечні. Потім вийшло ще одне оновлення з тими самими цілями. Нова версія 2.17.1 усуває попередню вразливість, якій
було надано номер CVE-2021-44832 з оцінкою 6,6 з 10.

Помилка попередньої версії компонента знову дозволяла віддалене виконання коду — цього разу через відсутність елементів контролю доступу для інструменту JDNI Log4j. Експлуатація цієї вразливості набагато складніша, ніж попередня — потрібен доступ до конфігураційного файлу. З його допомогою можна встановити джерело даних JNDI URI для віддаленого виконання коду.

Нагадаємо, що численні кіберзлочинці почали використовувати оригінальну вразливість Log4Shell практично одразу після її виявлення. Під загрозою опинився навіть марсіанський гелікоптер Ingenuity, а деякі хакери масовано атакували сервери HPE для видобутку криптовалюти Raptoreum.