烽火狼烟丨Apache Log4j2拒绝服务攻击（CVE45105）漏洞通告

漏洞概述

近日，WebRAY安全服务部监测到编号为：CVE-2021-45105的Apache Log4j2拒绝服务攻击漏洞，当系统日志配置使用非默认的模式布局和上下文查找时，攻击者可以通过构造包含递归查找数据包的方式，控制线程上下文映射 (MDC)，导致StackOverflowError产生并终止进程，实现拒绝服务攻击。目前只有log4j-core JAR 文件受此漏洞影响。仅使用log4j-api JAR文件而不使用log4j-core JAR文件的应用程序不受此漏洞的影响。

Apache Log4j2是Log4j的升级版本，该版本与之前的log4j1.x相比带来了显著的性能提升，并且修复一些存在于Logback中固有的问题的同时提供了很多在Logback中可用的性能提升，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

影响范围

漏洞等级

WebRAY安全服务部风险评级：高危

修复建议

1、官方已发布安全版本，请及时下载更新，下载地址：

https://github.com/apache/logging-log4j2/tags

2、临时缓解措施：

在日志记录配置的PatternLayout中，用线程上下文映射模式（%X、%mdc或%MDC）替换${ctx:loginId} 、${ctx:loginId} 等涉及上下文查找的内容。当所使用诸如HTTP标头或用户输入等应用程序外部的数据时，可以删除对上下文查找的引用。