漏洞描述
Apache Log4j 2是一款优秀的Java日志框架,该日志框架被大量用于业务系统开发,用来记录日志信息。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。提醒使用 Apache Log4j 2 的合作伙伴或开发者尽快采取安全措施阻止漏洞攻击。
漏洞评级
Apache Log4j 远程代码执行漏洞 严重
影响版本
Apache Log4j 2.x <= 2.14.1
修复建议
1. 升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2版本,地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2. 升级已知受影响的应用及组件,如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid
相关链接https://github.com/apache/logging-log4j2
