Apache Log4j安全漏洞风险通告

风险通告｜Apache Log4j 任意代码执行漏洞安全

风险通告

漏洞描述：

Apache Log4j 是 Apache 的一个开源项目，Apache log4j-2 是 Log4j 的升级，可以控制

日志信息输送的目的地为控制台、文件、GUI 组件等，通过定义每一条日志信息的级别，能够

更加细致地控制日志的生成过程。

近日，监测到 Apache Log4j 任意代码执行漏洞。Log4j-2 中存在 JNDI 注入漏洞，当程

序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执

行任意代码。

经验证，Apache Struts2、Apache Solr、Apache Druid、Apach e Flink 等众多组件

与大型应用均受影响，鉴于此漏洞危害巨大，利用门槛极低， 建议用户尽快参考缓解方案阻止

漏洞攻击。

本次更新内容： 修改漏洞描述。

受影响版本范围：

Apache Log4j -2 <= 2.14.1

修复方案：

官方提供如下解决方案及缓解方案来防护此漏洞，若有涉及，建议先

在测试系统验证后再修复生产环境漏洞。1. 升级到最新版本： 请联系厂商获取修复后的官方版本：

https://github.com/apache/logging-log4j2

已发现官方修复代码，目前尚未正式发布：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

2.缓解措施：

（1）. jvm 参数-Dlog4j2.formatMsgNoLookups=true

（2）. log4j2.formatMsgNoLookups=True

（3）.系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true