一、 漏洞描述
當系統日志配置使用非默認的模式布局和上下文查找時,攻擊者可以通過構造包含遞歸查找數據包的方式,控制線程上下文映射 (MDC),導致StackOverflowError產生并終止進程,實現拒絕服務攻擊。目前只有log4j-core JAR 文件受此漏洞影響。僅使用log4j-api JAR文件而不使用log4j-core JAR文件的應用程序不受此漏洞的影響。
二、 漏洞詳情
CVE-2021-45105 : Apache Log4j2拒絕服務攻擊
CVE: CVE-2021-45105
組件: Log4j
漏洞類型: 代碼問題
影響: 可導致拒絕服務
簡述: 見漏洞描述。
三、 影響版本
組件 | 影響產品或系統版本 | 安全版本 |
2.0-beta9 <= Apache Log4j <= 2.16.0 | Log4j 2.17.0(Java 8) Log4j 2.12.2(Java 7) |
四、 安全版本
見三
五、 安全建議
通用修補建議:
廠商已發布安全版本,用戶請盡快升級
https://github.com/apache/logging-log4j2/tags
臨時緩解措施:
在日志記錄配置的PatternLayout中,用線程上下文映射模式(%X、%mdc或%MDC)替換${ctx:loginId} 、$${ctx:loginId} 等涉及上下文查找的內容。當所使用諸如HTTP標頭或用戶輸入等應用程序外部的數據時,可以刪除對上下文查找的引用。