在 Log4j 漏洞曝光之后，Apache 軟件基金會于上周二發布了修補后的 2.17.0 新版本，并于周五晚些發布了一個新補丁。官方承認 2.16 版本無法在查找評估中妥善防止無限遞歸，因而易受 CVE-2021-45105 攻擊的影響。 據悉，這個拒絕服務（DoS）攻擊的威脅級別相當之高，CVSS 評分達到了 7.5 / 10 。

截圖（via Bleeping Computer ）

當日志配置使用了帶有上下文查找的非默認模式布局時（例如 $${ctx:loginId} ），控制線程上下文映射（MDC）數據輸入的攻擊者，便可制作一份包含遞歸查找的惡意輸入數據，從而導致進程因堆棧溢出報錯而被終止。

時隔三天冒出的新問題，是由 Akamai Technologies 的 Hideki Okamoto 和另一位匿名漏洞研究人員所發現的 —— 此類攻擊又被稱作 DoS（拒絕服務）。

緩解措施包括部署 2.17.0 補丁，并將諸如 ${ctx:loginId} 或 $${ctx:loginId} 之類的上下文查找，替換為日志記錄配置中 PatternLayout 線程的上下文映射模式（如 %X 、 %mdc 或 %MDC ）。

Apache 還建議在 ${ctx:loginId} 或 $${ctx:loginId} 等配置中，刪除對上下文查找的引用 —— 它們源于應用程序的外部，比如 HTTP 標頭或用戶輸入。

（圖 via Google Security Blog ）

美國網絡安全和基礎設施安全局（CISA）提出了多項緊急建議，要求聯邦機構盡快在圣誕節前落實補丁修復。

與此同時，IBM、思科、VMware 等科技巨頭，也在爭分奪秒地修復自家產品中的 Log4j 漏洞。

第二波惶恐源于安全公司 Blumira 發現的另一種 Log4j 攻擊，其能夠利用機器或本地網絡上的偵聽服務器來發起攻擊。

【來源：cnBeta.COM】

關鍵詞： 接踵而至 漏洞 補丁