Apache Log4j远程代码执行漏洞

关于漏洞

 

    由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

一、 漏洞情况分析

Apache Log4j2是一款Java日志框架。

二、漏洞影响范围

Apache Log4j 2.x <= 2.14.1

三、漏洞处置建议

修复建议：

1、升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc1 版本。 下载地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

2、升级已知受影响的应用及组件，如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid。