La saga Log4j est un peu comme les Marvel : une saga sans fin. Dès le 28 décembre, Apache a livré la version 2.17.1 de Log4j pour fixer des bugs et des failles supplémentaires.

Cette version cible la CVE 2021-44832. La 2.17.1 propose deux versions des adapteurs SLF4j. Ils provoquaient des casses de compatibilités. Cette CVE concerne toujours la possibilité d’exécuter du code distant en utilisant JDBC Appender. 

La version fixe plusieurs problèmes sur JDBC Appender, des ajustements sur le double log, etc. 

Apache signale que la CVE corrigée concerne toutes les versions de la 2.0 bêta à la 2.17 ! Bref mettez à jour.