Apache Log4j 漏洞影响深远，近日Apache 发布了 Log4j 2.17.0 补丁版本，用来解决被发现的第三个安全漏洞 CVE-2021-45105。

为什么要发布这个新的补丁版本？Apache 解释称：Apache Log4j2 2.0-alpha1到2.16.0版本都没有保护来自 self-referential 查找的不受控制的递归。当日志配置使用非默认的模式布局与上下文查找（例如，${ctx:loginId}）时，控制线程上下文映射（MDC）输入数据的攻击者可以制作包含递归查找的恶意输入数据，导致StackOverflowError，从而终止进程。这也被称为DOS（拒绝服务）攻击。

最新的问题是由Akamai Technologies的Hideki Okamoto和一位匿名漏洞研究人员发现的。目前的解决方式就是应用2.17.0补丁。

或者是在日志配置的PatternLayout中用线程上下文映射模式（%X、%mdc或%MDC）替换ctx:loginId或{ctx:loginId}或ctx:loginId或{ctx:loginId}等上下文查询；删除配置中对Context Lookups的引用，如ctx:loginId或{ctx:loginId}或ctx:loginId或{ctx:loginId}，因为它们来自于应用程序的外部来源，如HTTP头或用户输入。

Log4j是最近一段时间的热点话题，众多科技公司都在争相解决其产品中的Log4j漏洞，但是我们也看到了有很多勒索软件公司在利用这个攻击做新的攻击，因此，建议大家尽可能快地应用新补丁。

Apache Log4j 漏洞全列表

• CVE-2021-44228：Apache Log4j2 2.0-beta9 、2.12.1 、2.13.0 到 2.15.0 JNDI 功能在配置、日志消息和参数中使用，不能防止攻击者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时，可以控制日志消息或日志消息参数的攻击者可以执行从 LDAP 服务器加载的任意代码。从 log4j 2.15.0 开始，默认情况下已禁用此行为。从版本 2.16.0 开始，此功能已完全删除。请注意，此漏洞特定于 log4j-core，不会影响 log4net、log4cxx 或其他 Apache 日志服务项目。

• CVE-2021-45046：Apache Log4j 2.15.0 中针对 CVE-2021-44228 的修复在某些非默认配置中不完整。当日志配置使用非默认模式布局和上下文查找（例如，$${ctx:loginId}）或线程上下文映射模式（ %X、%mdc 或 %MDC）使用 JNDI 查找模式制作恶意输入数据，从而导致拒绝服务 (DOS) 攻击。默认情况下，Log4j 2.15.0 尽最大努力将 JNDI LDAP 查找限制为 localhost。Log4j 2.16.0 通过删除对消息查找模式的支持和默认禁用 JNDI 功能来修复此问题。

• CVE-2021-45105：Apache Log4j2 版本 2.0-alpha1 到 2.16.0（不包括 2.12.3）不能防止自引用查找的不受控制的递归。这允许控制线程上下文映射数据的攻击者在解释精心设计的字符串时导致拒绝服务。此问题已在 Log4j 2.17.0 和 2.12.3 中修复。