Apache Log4j2 组件再次被曝高危漏洞拒绝服务(CVE-2021-45105)

1.漏洞描述
log4j是apache实现的一个开源日志组件，logback同样是由log4j的作者设计完成的，拥有更好的特性，用来取代log4j的一个日志框架，是slf4j的原生实现。Log4j2是log4j 1.x和logback的改进版，据说采用了一些新技术（无锁异步、等等），使得日志的吞吐量、性能比log4j 1.x提高10倍，并解决了一些死锁的bug，而且配置更加简单灵活。该日志框架广泛应用于业务系统，用来记录日志信息。Apache Log4j2 组件再次被曝出存在拒绝服务漏洞的信息。漏洞编号：CVE-2021-45105，漏洞威胁等级：高危

Apache Log4j2 包含2.16.0在内的版本中没有防止来自自引用查找的不受控制的递归。当日志记录配置使用非默认的模式布局和上下文查找（例如，$${ctx：loginId}）时，控制线程上下文映射 （MDC） 输入数据的攻击者可以手工创建包含递归查找的恶意输入数据，从而导致 StackOverflowError 将终止进程。这也称为 DOS（拒绝服务）攻击。

12月9日Apache log4j2远程代码执行漏洞(CVE-2021-44228)在互联网上被广泛传播以来，Apache log4j2 相关组件相继被发现了多个安全漏洞，官方也陆续发布了2.15.0-rc1、2.15.0-rc2、2.15.0、2.15.1-rc1、2.16.0 、2.17.0等升级版本。

2.供应链影响

根据非权威统计，直接和间接引用Log4j的开源组件预计超过17万个。目前已知的受影响的应用和组件包括：Apache Solr、Apache Struts2、Apache Flink、Apache Druid、Apache Log4j SLF4J Binding、spring-boot-strater-log4j2、Hadoop Hive、ElasticSearch、Jedis、Logging、Logstash以及VMware多个产品等。

由于该漏洞的影响范围是全球性的，国外各大知名企业和组织的产品均受影响，如Amazon、Apache、Atlassian、Cisco、Debian、Docker、Fortinet、Google、IBM、英特尔、Juniper Networ、微软、Oracle、Red Hat、Ubuntu和VMware等。

CVE-2021-44228漏洞的利用难度低，默认配置即可远程利用，且PoC/EXP已在互联网上公开，现已被网络犯罪团伙广泛利用。

3.漏洞影响范围

CVE-2021-4104：Apache Log4j 1.2

CVE-2021-44228：Apache Log4j 2.0-beta9 – 2.12.1 、Apache Log4j 2.13.0 – 2.15.0-rc1

CVE-2021-45046：Apache Log4j 2.0-beta9 – 2.12.1、Apache Log4j 2.13.0-2.15.0

4.影响版本

CVE-2021-44228 Apache Log4j 远程代码执行漏洞：
2.0-beta9 <=Apache Log4j 2.x < 2.15.0 （2.12.2 版本不受影响）

CVE-2021-45046 Apache Log4j 拒绝服务与远程代码执行漏洞：
2.0-beta9 <=Apache Log4j 2.x < 2.15.0（2.12.2 版本不受影响）

CVE-2021-4104 ApacheLog4j 1.2 JMSAppender 远程代码执行漏洞：
Apache Log4j =1.2

CVE-2021-45105 Apache Log4j2 拒绝服务漏洞：
2.0-beta9 <=Apache Log4j<= 2.16.0

5.修复建议：
1.官方升级最新版本
https://github.com/apache/logging-log4j2/tags
2. 部署RASP（Runtime application self-protection）运行时应用自我保护。

6.参考：
https://www.venustech.com.cn/new_type/aqtg/20211216/23340.html
https://security.snyk.io/vuln/SNYK-JAVA-ORGAPACHELOGGINGLOG4J-2321524
https://github.com/jas502n/Log4j2-CVE-2021-44228
https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html