7*24小时技术支持
海外CN2服务器(客服1)
近日,网络应急团队监测到一则关于Apache 发布的Apache Log4j2 存在拒绝服务漏洞的公告。漏洞编号:CVE-2021-45105,漏洞评分:7.5,漏洞威胁等级:高危。
Apache Log4j2 包含2.16.0在内的版本中没有防止来自自引用查找的不受控制的递归。当日志记录配置使用非默认的模式布局和上下文查找(例如,$${ctx:loginId})时,控制线程上下文映射 (MDC) 输入数据的攻击者可以手工创建包含递归查找的恶意输入数据,从而导致 StackOverflowError 将终止进程。这也称为 DOS(拒绝服务)攻击。
【受影响版本】
2.0-beta9 <= Apache Log4j <= 2.16.0
【安全版本】
Log4j 2.17.0(Java 8)
Log4j 2.12.2(Java 7)
Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。