漏洞概述
近日,WebRAY安全服務部監測到編號為:CVE-2021-45105的Apache Log4j2拒絕服務攻擊漏洞,當系統日誌配置使用非默認的模式布局和上下文查找時,攻擊者可以通過構造包含遞歸查找數據包的方式,控制線程上下文映射 (MDC),導致StackOverflowError產生並終止進程,實現拒絕服務攻擊。目前只有log4j-core JAR 文件受此漏洞影響。僅使用log4j-api JAR文件而不使用log4j-core JAR文件的應用程序不受此漏洞的影響。
Apache Log4j2是Log4j的升級版本,該版本與之前的log4j1.x相比帶來了顯著的性能提升,並且修復壹些存在於Logback中固有的問題的同時提供了很多在Logback中可用的性能提升,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。
影響範圍
漏洞等級
WebRAY安全服務部風險評級:高危
修復建議
1、官方已發布安全版本,請及時下載更新,下載地址:
/apache/logging-log4j2/tags
2、臨時緩解措施:
在日誌記錄配置的PatternLayout中,用線程上下文映射模式(%X、%mdc或%MDC)替換${ctx:loginId} 、${ctx:loginId} 等涉及上下文查找的內容。當所使用諸如HTTP標頭或用戶輸入等應用程序外部的數據時,可以刪除對上下文查找的引用。