漏洞利用接踵而至：Apache为Log4j发布2170新版补丁修复

　　在 Log4j 漏洞曝光之后，Apache 软件基金会于上周二发布了修补后的 2.17.0 新版本，并于周五晚些发布了一个新补丁。官方承认 2.16 版本无法在查找评估中妥善防止无限递归，因而易受 CVE-2021-45105 攻击的影响。据悉，这个拒绝服务（DoS）攻击的威胁级别相当之高，CVSS 评分达到了 7.5 / 10 。

　　当日志配置使用了带有上下文查找的非默认模式布局时（例如$${ctx:loginId}），控制线程上下文映射（MDC）数据输入的攻击者，便可制作一份包含递归查找的恶意输入数据，从而导致进程因堆栈溢出报错而被终止。

　　美国网络安全和基础设施安全局（CISA）提出了多项紧急建议，要求联邦机构尽快在圣诞节前落实补丁修复。

　　与此同时，球速体育IBM、思科、VMware 等科技巨头，也在争分夺秒地修复自家产品中的 Log4j 漏洞。

　　第二波惶恐源于安全公司 Blumira 发现的另一种 Log4j 攻击，其能够利用机器或本地网络上的侦听服务器来发起攻击。