【漏洞预警】严重！Apache Log4j2 远程代码执行漏洞

Apache Log4j2是一个基于Java的日志记录工具，是Log4j的升级，在其前身Log4j 1.x基础上提供了Logback中可用的很多优化，同时修复了Logback架构中的一些问题，是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发，用来记录日志信息。开发者可能会将用户输入造成的错误信息写入日志中。

漏洞描述

近日，网络上出现 Apache Log4j2 远程代码执行漏洞，攻击者可利用该漏洞构造特殊的数据请求包，最终触发远程代码执行。

经验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响，漏洞利用无需特殊配置。

漏洞等级

高危

影响范围

• Apache Log4j2 2.0 ~ 2.14.1 版本范围内均受到漏洞影响

解决方案

厂商已发布新版本修复漏洞，请及时自查Log4j2版本是否在影响范围内，及时将Log4j2更新到安全版本 log4j-2.15.0-rc1 

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1