Apache Log4j2远程代码执行漏洞通告

1.漏洞概述

近日，WebRAY 安全服务部监测到 Apache Log4j2 存在远程代码执行漏洞，通过构造恶意的代码即可利用该漏洞，从而导致服务器权限丢失。由于该漏洞危害较大，WebRAY 安全服务部建议相关用户及时采取安全措施阻止漏洞攻击。Log4j 是 Apache 的一个开源项目，通过使用 Log4j，可以控制日志信息输送的目的地是控制台、文件、GUI 组件，甚至是套接口服务器、NT 的事件记录器、UNIX Syslog 守护进程等；也可以控制每一条日志的输出格式；通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程，这些可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码。

Apache Log4j2 是 Log4j 的升级版本，该版本与之前的 log4j1.x 相比带来了显著的性能提升，并且修复一些存在于 Logback 中固有的问题的同时提供了很多在 Logback 中可用的性能提升，Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等均受影响。

2.影响范围

Apache Log4j 2.x <= 2.14.1 版本均受影响。

3.漏洞等级 ：高危

4.修复建议

1、官方补丁：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

2、升级其他涉及到的通用组件，例如 Apache Struts2、Apache Solr 等。