Apache似乎无法利用基于Java的日志记录实用程序Log4j,因为现在已经发现了第三个主要漏洞。周五,Apache软件基金会(ASF)发布了一份公告,解释说一个新发现的漏洞已得到修复。该组织还敦促所有用户立即更新到最新版本的记录器。
简而言之,该缺陷是一个无限递归错误,导致受影响服务器出现DoS条件。以下是ASF描述该问题的方式:
“ApacheLog4j2版本2.0-alpha1到2.16.0没有防止自引用查找的不受控制的递归。当日志配置使用带有上下文查找的非默认模式布局(例如,$${ctx:loginId})时,控制线程上下文映射(MDC)输入数据的攻击者可以制作包含递归查找的恶意输入数据,导致StackOverflowError将终止进程。这也称为DOS(拒绝服务)攻击。”
最新版本的Log4j(2.17.0)可以在这个链接找到,建议用户在运行Log4j的地方安装它。那些无法修补他们的设备的人也可以部署以下临时解决方法之一:
在发现使数百万端点面临数据被盗风险的重大缺陷之后,Log4j实用程序在过去两周内一直处于媒体风暴的中心。
上周,网络安全和基础设施安全局(CISA)主管JenEasterly将其描述为她在整个职业生涯中所见过的“最严重”的缺陷之一,“如果不是最严重的”。
Easterly解释说:“我们预计该漏洞将被老练的参与者广泛利用,我们采取必要措施以减少损害的可能性的时间有限。”
它被跟踪为CVE-2021-44228,并允许恶意行为者运行几乎任何代码。专家警告说,利用该漏洞所需的技能非常低,并敦促大家尽快修补Log4j。
该漏洞与2017年导致Equifax黑客攻击的问题相比较,后者导致近1.5亿人的个人数据暴露。
这个原始漏洞在Log4j版本2.15中得到修复。