在 Log4j 漏洞曝光之後，Apache 軟體基金會於上週二發佈了修補後的 2.17.0 新版本，並於週五晚些發佈了一個新補丁。 官方承認 2.16 版本無法在查找評估中妥善防止無限遞歸，因而易受 CVE-2021-45105 攻擊的影響。 據悉，這個拒絕服務（DoS）攻擊的威脅級別相當之高，CVSS 評分達到了 7.5 / 10 。

截圖（via Bleeping Computer）

具體說來是，Apache Log4j2 的 2.0-alpha1 到 2.16.0 版本，均未能防止自引用查找的不受控遞歸。

當日誌配置使用了帶有上下文查找的非預設模式佈局時（例如$${ctx：loginId}），控制線程上下文映射（MDC）數據輸入的攻擊者，便可製作一份包含遞歸查找的惡意輸入數據，從而導致進程因堆疊溢出報錯而被終止。

時隔三天冒出的新問題，是由 Akamai Technologies 的 Hideki Okamoto 和另一位匿名漏洞研究人員所發現的 —— 此類攻擊又被稱作 DoS（拒絕服務）。

緩解措施包括部署 2.17.0 補丁，並將諸如${ctx：loginId}或$${ctx：loginId}之類的上下文查找，替換為日誌記錄配置中 PatternLayout 線程的上下文映射模式（如%X、%mdc或%MDC）。

Apache 還建議在${ctx：loginId}或$${ctx：loginId}等配置中，刪除對上下文查找的引用 —— 它們源於應用程式的外部，比如 HTTP 標頭或使用者輸入。

慶幸的是，只有 Log4j 的核心 JAR 檔，受到了 CVE-2021-45105 漏洞的的影響。

（圖 via Google Security Blog）

週五的時候，網路安全研究人員開始發佈有關 2.16.0 潛在問題的推文，且其中一些人確定了拒絕服務（DoS）漏洞。

美國網路安全和基礎設施安全域（CISA）提出了多項緊急建議，要求聯邦機構儘快在耶誕節前落實補丁修復。

與此同時，IBM、思科、VMware 等科技巨頭，也在爭分奪秒地修復自家產品中的Log4j漏洞。

第二波惶恐源於安全公司 Blumira 發現的另一種 Log4j 攻擊，其能夠利用機器或本地網路上的偵聽伺服器來發起攻擊。

在此之前，許多人誤以為 Log4j 漏洞僅限於暴露的易受攻擊的伺服器。 而 Conti 之類的勒索軟體組織，也在積極探索此類漏洞利用方法。