一、事件描述

近日，广西教育系统网络安全监测中心监测到ApacheLog4j2再次被披露存在拒绝服务漏洞，该漏洞被编号为CVE-2021-45105，CVSS评分7.5。该漏洞可导致拒绝服务攻击，当系统日志配置使用非默认的模式布局和上下文查找时，攻击者可以通过构造包含递归查找数据包的方式，控制线程上下文映射(MDC)，导致StackOverflowError产生并终止进程，实现拒绝服务攻击。目前只有log4j-core JAR文件受此漏洞影响。仅使用log4j-api JAR文件而不使用log4j-core JAR文件的应用程序不受此漏洞的影响。

Apache Log4j2是Log4j的升级版本，该版本与之前的log4j1.x相比带来了显著的性能提升，并且修复一些存在于Logback中固有的问题的同时提供了很多在Logback中可用的性能提升，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。广西教育系统网络安全监测中心也将持续关注该漏洞进展，第一时间为您更新该漏洞信息。

二、影响范围

2.0-beta9 <=ApacheLog4j<=2.16.0

已知受影响组件：

Apache Solr

Apache Flink

Apache Druid等

三、漏洞等级

广西教育系统网络安全监测中心将该漏洞评级为高危。

四、安全建议

1.官方补丁

（1）官方已于2021年12月20日发布安全版本，请及时下载更新，下载地址：https://github.com/apache/logging-log4j2/tags。

2.临时解决方案

（1）在日志记录配置中，将PatternLayout中上下文查找（如${ctx：loginId}或$${ctxl:oginId}）替换为线程上下文映射模式（%X、%mdc或%MDC）。

  （2）在日志记录配置中，删除对上下文查找的引用，如${ctx：loginId}或$${ctx：loginId}，其中它们源自应用程序外部的源，如HTTP标头或用户输入。