关于Apache Log4j2远程代码执行高危漏洞的紧急通告

　　Apache Log4j2是一款开源日志框架， 近期互联网上公开了Log4j2一个远程命令执行漏洞。Log4j2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。该漏洞影响范围较大，利用难度低，已经发现互联网上有大规模在野。已知受影响的组件包括srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid等，业务系统中如果涉及Java应用，请检测是否引入log4j-api , log4j-core 两个jar包，若存在应用使用，很可能也会受此漏洞影响。建议尽快自行检查修复。

　

漏洞等级：高危

受影响的版本：2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1

安全版本：log4j-2.15.0-rc2

漏洞修复方案：

建议您在升级前做好数据备份工作，Apache官方已发布补丁，补丁下载地址：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

临时解决方案：

1、设置jvm参数：“-Dlog4j2.formatMsgNoLookups=true”；

2、 添加log4j2.component.properties配置文件，设置：“log4j2.formatMsgNoLookups=True”；

3、系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”；

4、若相关用户暂时无法进行升级操作，也可通过禁止Log4j中SocketServer类所启用的socket端对公网开放来进行防护；

5、禁止安装log4j的服务器访问外网，并在边界对dnslog相关域名访问进行检测。

参考链接：

https://github.com/apache/logging-log4j2

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

北京大学计算中心

2021年12月10日