Apache Log4j2 元件再次被曝高危險漏洞拒絕服務(CVE-2021-45105)

1.漏洞描述
log4j是apache實作的一個開源日誌元件，logback同樣是由log4j的作者設計完成的，擁有更好的特性，用來取代log4j的一個日誌框架，是slf4j的原生實作。 Log4j2是log4j 1.x和logback的改進版，據說採用了一些新技術（無鎖異步、等等），使得日誌的吞吐量、性能比log4j 1.x提高10倍，並解決了一些死鎖的bug，而且配置更加簡單靈活。此日誌框架廣泛應用於業務系統，用來記錄日誌資訊。 Apache Log4j2 元件再次被曝出存在拒絕服務漏洞的資訊。漏洞編號：CVE-2021-45105，漏洞威脅等級：高危險

Apache Log4j2 包含2.16.0在內的版本中沒有防止來自自引用查找的不受控制的遞歸。當日誌記錄配置使用非預設的模式佈局和上下文查找（例如，$${ctx：loginId}）時，控制執行緒上下文映射（MDC） 輸入資料的攻擊者可以手動建立包含遞歸查找的惡意輸入數據，從而導致StackOverflowError 將終止進程。這也稱為DOS（拒絕服務）攻擊。

12月9日Apache log4j2遠端程式碼執行漏洞(CVE-2021-44228)在網路上被廣泛傳播以來，Apache log4j2 相關元件相繼被發現了多個安全漏洞，官方也陸續發布了2.15.0-rc1、2.15 .0-rc2、2.15.0、2.15.1-rc1、2.16.0 、2.17.0等升級版本。

2.供應鏈影響

根據非權威統計，直接和間接引用Log4j的開源元件預計超過17萬個。目前已知的受影響的應用和元件包括：Apache Solr、Apache Struts2、Apache Flink、Apache Druid、Apache Log4j SLF4J Binding、spring-boot-strater-log4j2、Hadoop Hive、ElasticSearch、Jedis、Logging、Logstash以及VM個產品等。

由於該漏洞的影響範圍是全球性的，國外各大知名企業和組織的產品均受影響，如Amazon、Apache、Atlassian、Cisco、Debian、Docker、Fortinet、Google、IBM、英特爾、Juniper Networ、微軟、 Oracle、Red Hat、Ubuntu和VMware等。

CVE-2021-44228漏洞的利用難度低，預設配置即可遠端利用，且PoC/EXP已在網路上公開，現已被網路犯罪集團廣泛利用。

3.漏洞影響範圍

CVE-2021-4104：Apache Log4j 1.2

CVE-2021-44228：Apache Log4j 2.0-beta9 – 2.12.1 、Apache Log4j 2.13.0 – 2.15.0-rc1

CVE-2021-45046：Apache Log4j 2.0-beta9 – 2.12.1、Apache Log4j 2.13.0-2.15.0

4.影響版本

CVE-2021-44228 Apache Log4j 遠端程式碼執行漏洞：
2.0-beta9 <=Apache Log4j 2.x < 2.15.0 （2.12.2 版本不受影響）

CVE-2021-45046 Apache Log4j 拒絕服務與遠端程式碼執行漏洞：
2.0-beta9 <=Apache Log4j 2.x < 2.15.0（2.12.2 版本不受影響）

CVE-2021-4104 ApacheLog4j 1.2 JMSAppender 遠端程式碼執行漏洞：
Apache Log4j =1.2

CVE-2021-45105 Apache Log4j2 拒絕服務漏洞：
2.0-beta9 <=Apache Log4j<= 2.16.0

5.修復建議：
1.官方升級最新版本
https://github.com/apache/logging-log4j2/tags
2. 部署RASP（Runtime application self-protection）執行階段套用自我保護。

6.參考：
https://www.venustech.com.cn/new_type/aqtg/20211216/23340.html
https://security.snyk.io/vuln/SNYK-JAVA-ORGAPACHELOGGINGLOG4J-2321524
https://github.com/jas502n/Log4j2-CVE-2021-44228
https://thehackernews.com/2021/12/apache-issues-3rd-patch-to-fix-new-high.html