【漏洞详情】

Apache Log4j 是 Apache 的一个开源项目，通过定义每一条日志信息的级别，能够更加细致地控制日志生成过程。Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

影响判断方式：用户只需排查Java应用是否引入 log4j-core 这个jar。若存在应用使用，极大可能会受到影响。

【风险评级】

高危

【影响范围】

Apache Log4j 2.x < 2.15.0-rc2
部分1.X版本可被绕过

包括但不限于如下：
Spring-Boot-strater-log4j2,
Apache Struts2
Apache Solr
Apache Flink
Apache Druid
ElasticSearch
flume
dubbo
Redis
logstash
kafka
 

【修复建议】

1、升级最新版本：

将 log4j 升级到 2.15.0 及以上版本，下载地址：https://github.com/apache/logging-log4j2/tags

2、紧急缓解措施：

临时修复建议：（2.10之前的版本使用改缓解措施无效）
 2.1修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
 2.2修改配置log4j2.formatMsgNoLookups=True
 2.3将系统环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS设置为true（LOG4J_FORMAT_MSG_NO_LOOKUPS=true）

【参考链接】

https://github.com/apache/logging-log4j2

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安金融云

2021年12月10日