捅了Bug窩？Apache Log4j 出現(xiàn)第四個(gè)漏洞

文?| 羅奇奇

出品 | OSC開(kāi)源社區(qū)（ID：oschina2013）

Apache Log4j 的?2.0-alpha1 到 2.16.0?版本存在新的漏洞 CVE-2021-45105 ，此漏洞評(píng)分 7.5 ，且在剛發(fā)布的 Log4j 2.17.0 (Java 8) 中得到了修復(fù)。如果把安全公司 Praetorian 發(fā)現(xiàn)的第三個(gè)信息泄露漏洞也算進(jìn)去，這應(yīng)該是?Log4j 的第四個(gè)漏洞了。

前三個(gè)漏洞：

CVE-2021-44228、CVE-2021-45046 和?Log4Shell?

漏洞詳情

Apache Log4j2 版本 2.0-alpha1 到 2.16.0 沒(méi)有防止自引用查找的不受控制的遞歸。當(dāng)日志配置使用帶有上下文查找的非默認(rèn)模式布局（例如，$${ctx:loginId}）時(shí)，控制線程上下文映射 (MDC) 輸入數(shù)據(jù)的攻擊者可以制作包含遞歸查找的惡意輸入數(shù)據(jù)，導(dǎo)致 StackOverflowError 將終止進(jìn)程。這也稱(chēng)為 DOS（拒絕服務(wù)）攻擊。

緩解措施

從 2.17.0 版本（對(duì)于 Java 8）開(kāi)始，只有配置中的查找字符串被遞歸擴(kuò)展；在任何其他用法中，僅解析頂級(jí)查找，不解析任何嵌套查找。

在以前的版本中，可以通過(guò)確保您的日志記錄配置執(zhí)行以下操作來(lái)緩解此問(wèn)題：

• 在日志記錄配置的 PatternLayout 中，用線程上下文映射模式（%X、%mdc 或 %MDC）替換 ${ctx:loginId} 或 $${ctx:loginId} 等上下文查找。

• 否則，在配置中，刪除對(duì)上下文查找的引用，如 ${ctx:loginId} 或 $${ctx:loginId}，它們?cè)醋詰?yīng)用程序外部的源，如 HTTP 標(biāo)頭或用戶輸入。

Log4j 的漏洞有點(diǎn)像計(jì)算機(jī)世界的新冠，一波未平一波又起，還時(shí)不時(shí)出現(xiàn)一些變種...

覺(jué)得不錯(cuò)，請(qǐng)點(diǎn)個(gè)在看呀