关于Apache Log4j任意代码执行漏洞预警通告

1、漏洞名称:  

Apache Log4j任意代码执行漏洞

二、漏洞性质:  

任意代码执行

三、影响版本:

Apache Log4j 2.x <= 2.14.1

可能的受影响应用包括但不限于如下：

四、漏洞危害：

Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据被日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码，可能对用户造成不可挽回的损失。

五、危害等级：

严重

六、漏洞描述:

Apache Log4j 是 Apache 的一个开源项目，Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等，通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发，用来记录日志信息。log4j2是全球使用广泛的java日志框架，同时该漏洞还影响很多全球使用量的Top序列的通用开源组件，例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。

七、紧急缓解措施

（1） 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true     

（2） 修改配置log4j2.formatMsgNoLookups=True

（3） 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

八、修复建议

1、厂商已发布升级修复漏洞，用户请尽快更新至安全版本：log4j-2.15.0-rc1
&#x200e;下载链接：

2、升级已知受影响的应用及组件，如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

3、做好资产自查以及预防工作，以免遭受黑客攻击

江苏金盾检测技术股份有限公司

传真：025-85557501  网址：www.365eval.com

地址：南京市玄武区玄武大道108号徐庄软件园二期聚慧园5幢12层

-----------------------------------------------------------------------------