Apache似乎無法利用基于Java的日志記錄實用程序Log4j，因為現(xiàn)在已經(jīng)發(fā)現(xiàn)了第三個主要漏洞。周五，Apache軟件基金會(ASF)發(fā)布了一份公告，解釋說一個新發(fā)現(xiàn)的漏洞已得到修復(fù)。該組織還敦促所有用戶立即更新到最新版本的記錄器。

簡而言之，該缺陷是一個無限遞歸錯誤，導(dǎo)致受影響服務(wù)器出現(xiàn)DoS條件。以下是ASF描述該問題的方式：

“ApacheLog4j2版本2.0-alpha1到2.16.0沒有防止自引用查找的不受控制的遞歸。當(dāng)日志配置使用帶有上下文查找的非默認(rèn)模式布局(例如，$${ctx:loginId})時，控制線程上下文映射(MDC)輸入數(shù)據(jù)的攻擊者可以制作包含遞歸查找的惡意輸入數(shù)據(jù)，導(dǎo)致StackOverflowError將終止進(jìn)程。這也稱為DOS(拒絕服務(wù))攻擊。”

最新版本的Log4j(2.17.0)可以在這個鏈接找到，建議用戶在運行Log4j的地方安裝它。那些無法修補他們的設(shè)備的人也可以部署以下臨時解決方法之一：

在發(fā)現(xiàn)使數(shù)百萬端點面臨數(shù)據(jù)被盜風(fēng)險的重大缺陷之后，Log4j實用程序在過去兩周內(nèi)一直處于媒體風(fēng)暴的中心。

上周，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)主管JenEasterly將其描述為她在整個職業(yè)生涯中所見過的“最嚴(yán)重”的缺陷之一，“如果不是最嚴(yán)重的”。

Easterly解釋說：“我們預(yù)計該漏洞將被老練的參與者廣泛利用，我們采取必要措施以減少損害的可能性的時間有限。”

它被跟蹤為CVE-2021-44228，并允許惡意行為者運行幾乎任何代碼。專家警告說，利用該漏洞所需的技能非常低，并敦促大家盡快修補Log4j。

該漏洞與2017年導(dǎo)致Equifax黑客攻擊的問題相比較，后者導(dǎo)致近1.5億人的個人數(shù)據(jù)暴露。

這個原始漏洞在Log4j版本2.15中得到修復(fù)。