西电网安：YJ-2021-121001

【漏洞等级】：高危

【漏洞描述】

近日，监测发现Apache Log4j2 存在远程代码执行漏洞。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞利用细节已公开，Apache官方已发布补丁修复该漏洞。由于该漏洞影响范围极广，建议各单位用户第一时间自查并进行漏洞修复。

Apache Log4j2是一个基于Java的日志记录组件。该工具重写了Log4j框架，并且引入了大量丰富的特性，被广泛应用于业务系统开发，用以记录日志信息。由于Log4j2组件在处理程序日志记录时存在注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，导致服务器被黑客控制，从而进行页面篡改、数据窃取、挖矿、勒索等行为。

【影响范围】

【修复建议】

1.当前漏洞POC已被公开，官方已发布安全版本，请尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 或以上，地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2.临时缓解措施：

1）添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true；

2）在应用classpath下添加log4j2.component.properties配置文件，文件内容为log4j2.formatMsgNoLookups=true；

3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本。