艺赛旗产品 Apache Log4j2 DOS(拒绝服务)攻击漏洞(CVE-2021-45105)的修复方案

一、背景介绍

因为没有防止自引用查找的不受控制的递归。当日志配置使用带有上下文查找的非默认模式时;

例如:${ctx:loginId}

攻击者可以制作包含递归查找的恶意输入数据,导致 StackOverflowError 异常,将终止进程。这也称为 DOS(拒绝服务)攻击。

二、受影响版本

Apache Log4j-core 2.x<2.16.0。

如果应用系统仅仅引用log4j-api包,未引用log4j-core包,则不再此次影响范围内。

三、修复说明

1、根据 Log4j2 的官方情况,CVE-2021-45105 漏洞已经在 v2.17.0 中得到了修复。

四、修复方案下载地址

log4j2.17 修复包.zip