Apache Log4j 出现第N个漏洞:不受控制的递归,Log4j已死,纸就不用烧了


Apache Log4j 的 2.0-alpha1 到 2.16.0 版本存在新的漏洞 CVE-2021-45105 ,此漏洞评分 7.5 ,且在刚发布的 Log4j 2.17.0 (Java 8) 中得到了修复。如果把安全公司 Praetorian 发现的第三个信息泄露漏洞也算进去,这应该是 Log4j 的第四个漏洞了。

漏洞详情

Apache Log4j2 版本 2.0-alpha1 到 2.16.0 没有防止自引用查找的不受控制的递归。当日志配置使用带有上下文查找的非默认模式布局(例如,$${ctx:loginId})时,控制线程上下文映射 (MDC) 输入数据的攻击者可以制作包含递归查找的恶意输入数据,导致 StackOverflowError 将终止进程。这也称为 DOS(拒绝服务)攻击。

缓解措施

从 2.17.0 版本(对于 Java 8)开始,只有配置中的查找字符串被递归扩展;在任何其他用法中,仅解析顶级查找,不解析任何嵌套查找。

在以前的版本中,可以通过确保您的日志记录配置执行以下操作来缓解此问题:

  • 在日志记录配置的 PatternLayout 中,用线程上下文映射模式(%X、%mdc 或 %MDC)替换 ${ctx:loginId} 或 $${ctx:loginId} 等上下文查找。
  • 否则,在配置中,删除对上下文查找的引用,如 ${ctx:loginId} 或 $${ctx:loginId},它们源自应用程序外部的源,如 HTTP 标头或用户输入。

Log4j 的漏洞有点像计算机世界的新冠,一波未平一波又起,还时不时出现一些变种...


相關推薦

2021-12-29

Apache Log4j 日志库中发现了另一个严重的远程代码执行漏洞,现在被跟踪为 CVE-2021-44832。这是 Log4j 库中的第五个 RCE 和第六个非常严重的漏洞,其次分别是 CVE-2021-44228 (RCE)、CVE-2021-45046 (RCE) 和 CVE-2021-45105 (DoS 攻击)。 目前,Apache

2021-12-17

8 和 CVE-2021-45046 之后发现的第五个 Log4Shell 漏洞。 距离 Apache Log4j “核弹级”漏洞的公开已过去将近一周,在此期间被记录的漏洞总共有两个,分别是 CVE-2021-44228 和 CVE-2021-45046。针对漏洞的补丁版本也早已发布: Apache L

2021-12-21

来自 Google Open Source Insights Team 的安全研究人员通过调查 Maven Central 中所有软件包的所有版本,以更好地了解最近曝出的 Log4j 漏洞对整个 JVM 语言生态系统的影响,同时还跟踪了正在进行的缓解受影响软件包的工作。 研究人

2022-02-14

框架。 官方表示,基于 IntelliJ 平台的 IDE 不受 Log4j 漏洞的影响,因为它们使用了 Log4j 1.2 的修复版本,并删除了所有与网络相关的代码,而且 Log4j 库的第 1 版和第 2 版是两个完全不同的代码库,具有不兼容的 API。但即便

2021-12-16

​近日,openLooKeng注意到Apache Log4j2反序列化远程代码执行漏洞(CVE ID为CVE-2021-44228),并修复失败。详细方案如下,建议所有用户不要升级。 Apache Log4j2远程代码执行漏洞修复解决方案 【漏洞描述】 Apache Log4j2是一个基于J

2021-12-23

们遭受了严重的网络攻击,该攻击基于此前我们报导的 Apache Log4j 相关漏洞。强烈的网络攻击导致比利时国防部的一些活动瘫痪,如邮件系统就已经停机了好几天。 比利时相关发言人奥利维尔·塞维林 (Olivier Séverin) 表示:“

2021-12-16

基于 Java 的日志记录工具 Apache Log4j2 近日出现了一个高危漏洞,攻击者可以利用其 JNDI 注入漏洞远程执行代码,此漏洞牵涉面非常广,以至于国内外的个人或公司用户都对此高度关注,而 Log4j2 开发组在漏洞曝光后及时发布了 A

2021-12-16

个数字会增长,尤其是在未来几天和几周内随着新变种的出现。”

2022-11-03

国家/地区中,美国仍然位居首位。欧洲国家在前 11 名中出现的频率也在增长,由 2021 年的 5 个国家变成了 7 个。 研究人员表示,组织的加强、加密货币价格的持续波动、网络安全保险承保人更严格的监管,都是可能造成勒

2021-12-24

划:利用民间力量优化政府系统的安全性和稳定性,避免出现政府数据泄露的问题。值得一提的是,此计划是一个长期计划,预计在 2022 年分三个不同阶段进行。它甚至有法可依:根据美国第115 届国会公法 通过的 SECURE 技术法

2021-12-20

者论坛指出,当前版本的 XCode 13.2 中似乎也包含了 Log4j 漏洞。对此,Xcode 团队在帖子中则回应道,他们已经意识到这个问题。“我们通常不会为修复错误的时间提供 ETA,但团队已经意识到存在这个安全问题。” 根据介绍

2022-01-12

究人员将一些集中在年底的增长归因于 12 月发现的 Log4j 漏洞。Check Point 称,2021 年是网络攻击创纪录的一年,而 Log4j 漏洞让事情变得更加糟糕。 Check Point Software 的数据研究经理 Omer Dembinsky表示,“我们看到网络攻击数量在年

2022-03-18

的功能未启用,还有部分功能存在 Bug ... 所以后面极可能出现一些  B1txor20  变种。 B1txor20 工作的基本流程图如下 : 360 netlab 团队的详细介绍了对该木马进行逆向分析的破解过程,结果发现该 B1txor20 背后的团队

2024-03-08

执行 修复脚本 进行修复。0.46和0.47版本之外的版本不会出现此问题。*** *** 0.50版本添加了是否允许客户端发送群操作通知的配置。如果您在客户端自定义群通知,需要在服务器端配置允许,没有使用自定义群操作通知的不受影