重大漏洞预警！Apache Log4j2 远程代码执行漏洞风险通告

01 漏洞描述

Apache Log4j2是一款优秀的Java日志框架。2021年11月24日，漏洞银行安全团队注意到了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经漏洞银行安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。漏洞银行提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

02 漏洞评级

Apache Log4j 远程代码执行漏洞 严重

03 影响版本

Apache Log4j 2.x <= 2.14.1

04 修复建议

1、目前官方已发布测试版本修复该漏洞，受影响用户可先将Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc1 版本，地址：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1（注：由于此版本非正式发行版，可能出现不稳定的情况，建议用户在备份数据后再进行升级。）

2、升级供应链中已知受影响的应用及组件：Apache Solr、Apache Flink、Apache Druid、srping-boot-strater-log4j2

05 参考资料

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1