После нашумевшей RCE уязвимости CVE-2021-44228 в Log4j все админы ломанулись обновлять библиотеку до выпуска 2.15. Обновили? Молодцы. Теперь обновляйте до 2.16.
Выяснилось, что исправления версии 2.15 не работают при некоторых конфигурациях, в которых при журналировании используются контекстные запросы (Context Lookup), такие как ${ctx:loginId}, или MDC-шаблоны (Thread Context Map), например, %X, %mdc и %MDC.
Уязвимость CVE-2021-45046 независимо от использования флага "log4j2.noFormatMsgLookup" или шаблона "%m{nolookups}" позволяет злоумышленнику вызвать DOS для версии 2.15 или RCE для предыдущих версий. 3.7 баллов по шкале CVSSv3.
В качестве обходного пути защиты предложено удалить класс JndiLookup из classpath (например, "zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class").
