Apache 软件基金会 (ASF) 于 12 月 17 日发布了 Java 日志输出库“Apache Log4j”的最新版本 Apache Log4j 2.17.0。 2.0-alpha1 和 2.14.16 版本之间存在可能导致拒绝服务 (DoS) 条件的漏洞，并已在最新版本中修复。

根据 ASF称，版本 2.0-alpha1 到 2.14.16 不能防止自引用查找中不受控制的重复发生。 因此，如果日志配置的上下文查找使用非默认模式布局，例如“$${ctx: loginId}”，攻击者可以使用恶意输入数据，包括在线程上下文映射（MDC）中递归查找，这会导致出现 stackover 错误，且系统出现故障。

目前该漏洞仅在使用“log4j-core JAR”文件时会受到影响，并不会影响仅使用“log4j-apiJAR”文件的应用程序，或除 Log4j 之外的 Log4net 和 Log4cxx 等与 Apache 日志相关的项目。通用漏洞评估系统 (CVSS) 基于基本值的评估为“7.5”（最高为 10.0）。

此外，作为避免漏洞影响的一种方式，日志配置的PatternLayout中的诸如“${ctx:loginId}”和“$${ctx:loginId}”之类的上下文查找可以用作MDC模式（% X,% mdc). 或 % MDC)，或删除对上下文查找的引用，例如“$ {ctx: loginId}”和“$$ {ctx: loginId}”。

该漏洞是由 Akamai Technologies 的 Hideki Okamoto、Trend Micro Research的 Guy Lederfein 和一位匿名人士发现的。 Trend Micro 的 Zero Day Initiative 解释说，它与2.0-beta9～2.14.1 版本中报告的远程代码执行漏洞（俗称“Log4Shell”）不同，虽然它也是由“Lookup”引起的但是和Log4Shell又是不同的东西。