网络安全预警通报
2021年第10期 (总第26期)
西安交通大学网络信息中心 2021年12月20日
_____________________________________________
【预警类型】高危预警
【预警内容】
Apache Log4j特定条件下可致拒绝服务的漏洞( CVE- 2021-45105 )风险通告
安全公告编号: CVE- 2021-45105
一、漏洞概述
Apache Log4j2版本2.0-alpha1到2.16.0没有防止自引用查找的不受控制的递归。当日志配置使用带有上下文查找的非默认模式布局(例如, $${ctx:loginld}) 时,控制线程上
下文映射(MDC)输入数据的攻击者可以制作包含递归查找的恶意输入数据,导致StackOverflowError将终止进程,这也称为DOS (拒绝服务)攻击。
专家建议受影响的用户升级到安全版本。
Apache Log4j2是-个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。
二、受影响的版本
从2.0-beta9到2.16.0的所有版本
三、安全版本
Log4j 2.17.0 (Java 8)
四、漏洞缓解措施
Log4j 1.x缓解
Log4j 1.x不受此漏洞影响。
Log4j 2.x缓解
实施以下缓解技术之一:
Java8 (或更高版本)用户应升级到2.17.0版。或者,这可以在配置中缓解:在日志记录配置的PatternLayout中,用线程上下文映射模式(%X、 %mdc 或9%MDC)替换${tx:loginld}或$${tx:loginld} 等上下文查找。
否则,在配置中,删除对上下文查找的引用,如${ctx:loginld}或$${tx:loginld},它们源 自应用程序外部的源,如HTTP标头或用户输入。
请注意,只有log4j-core JAR文件受此漏洞影响。仅使用log4j-api JAR文件而不使用log4j-core JAR文件的应用程序不受此漏洞的影响。
另请注意,Apache Log4j是唯一受此 漏洞影响的日志服务子项目。Log4net 和Log4cxx 等其他项目不受此影响。
参考链接:
https://logging.apache.org/log4j/2.x/security.html
