Apache似乎无法利用基于Java的日志记录实用程序Log4j，因为现在已经发现了第三个主要漏洞。周五，Apache软件基金会(ASF)发布了一份公告，解释说一个新发现的漏洞已得到修复。该组织还敦促所有用户立即更新到最新版本的记录器。

简而言之，该缺陷是一个无限递归错误，导致受影响服务器出现DoS条件。以下是ASF描述该问题的方式：

“ApacheLog4j2版本2.0-alpha1到2.16.0没有防止自引用查找的不受控制的递归。当日志配置使用带有上下文查找的非默认模式布局(例如，$${ctx:loginId})时，控制线程上下文映射(MDC)输入数据的攻击者可以制作包含递归查找的恶意输入数据，导致StackOverflowError将终止进程。这也称为DOS(拒绝服务)攻击。”

最新版本的Log4j(2.17.0)可以在这个链接找到，建议用户在运行Log4j的地方安装它。那些无法修补他们的设备的人也可以部署以下临时解决方法之一：

在发现使数百万端点面临数据被盗风险的重大缺陷之后，Log4j实用程序在过去两周内一直处于媒体风暴的中心。

上周，网络安全和基础设施安全局(CISA)主管JenEasterly将其描述为她在整个职业生涯中所见过的“最严重”的缺陷之一，“如果不是最严重的”。

Easterly解释说：“我们预计该漏洞将被老练的参与者广泛利用，我们采取必要措施以减少损害的可能性的时间有限。”

它被跟踪为CVE-2021-44228，并允许恶意行为者运行几乎任何代码。专家警告说，利用该漏洞所需的技能非常低，并敦促大家尽快修补Log4j。

该漏洞与2017年导致Equifax黑客攻击的问题相比较，后者导致近1.5亿人的个人数据暴露。

这个原始漏洞在Log4j版本2.15中得到修复。