漏洞利用如下:Apache发布新版本2.17.0补丁Log4j新补丁已发布。官方承认2.16版本没有正确防止查找评估中的无限递归,因此容易受到CVE-2021-45105攻击。据悉,此次拒绝服务(DoS)攻击的威胁等级相当高,CVSS评分为7.5/10。屏幕截图(来自BleepingComputer)具体来说,ApacheLog4j2的2.0-alpha1到2.16.0版本未能阻止自引用查找的不受控制的递归。当日志配置使用具有上下文查找的非默认模式布局(例如$${ctx:loginId})时,控制线程上下文映射(MDC)数据输入的攻击者可以制作包含递归查找数据的恶意输入,从而导致在因堆栈溢出错误而终止的进程中。三天后出现的新问题是由AkamaiTechnologies的HidekiOkamoto和另一位匿名漏洞研究人员发现的——这种类型的攻击也称为DoS(拒绝服务)。缓解措施包括部署2.17.0补丁并将${ctx:loginId}或$${ctx:loginId}等上下文查找替换为上下文映射模式(例如%X、%mdc或%MDC)。Apache还建议在${ctx:loginId}或$${ctx:loginId}等配置中删除对上下文查找的引用——它们源自应用程序外部,例如HTTP标头或用户输入。幸运的是,只有Log4j的核心JAR文件受到CVE-2021-45105漏洞的影响。(图片来自谷歌安全博客)周五,网络安全研究人员开始发布有关2.16.0潜在问题的推文,其中一些人发现了拒绝服务(DoS)漏洞。美国网络安全和基础设施安全局(CISA)提出了多项紧急建议,要求联邦机构尽快在圣诞节前实施补丁。与此同时,IBM、思科、VMware等科技巨头也在争分夺秒地修复自家产品中的Log4j漏洞。第二波恐惧源于安全公司Blumira发现的另一种Log4j攻击,该攻击利用机器或本地网络上的监听服务器。在此之前,很多人误以为Log4j漏洞仅限于暴露的易受攻击的服务器。Conti等勒索软件组织也在积极探索此类漏洞。
