一、概要

近日，我们关注到Apache Log4j2存在一处远程代码执行漏洞，在引入Apache Log4j2处理日志时，会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC、EXP已公开，已发现在野攻击利用，风险较高。

Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。我们提醒使用Apache Log4j2的用户尽快安排自检并做好安全加固。

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Log4j 2.x <= 2.14.1

已知受影响的应用及组件：

srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

四、漏洞处置

目前官方已发布修复版本修复了该漏洞，请受影响的用户尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

升级已知受影响的应用及组件，如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

临时规避措施（相关设置后需重启，请用户重启前评估对业务的影响）：

1、若无必要，禁止业务对外网暴露

2、设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”

3、在设置“log4j2.formatMsgNoLookups=True”

4、系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

注：修复漏洞前请将资料备份，并进行充分测试。