Apache Log4j2是一款开源日志框架,近期互联网上公开了Log4j2一个远程命令执行漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,之后可以在目标服务器上执行任意代码。该漏洞影响范围较大,利用难度低,已经发现互联网上有大规模在野利用。
已知受影响的组件包括spring-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid等,业务系统中如果涉及Java应用,请检测是否引入log4j-api , log4j-core 两个jar包,若存在应用使用,很可能也会受此漏洞影响。建议尽快自行检查修复。
漏洞等级:高危
受影响的版本:Apache log4j2 2.x < 2.15.0-rc2
安全版本:log4j-2.15.0-rc2
漏洞修复方案:
Apache官方已发布补丁,补丁下载地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
参考链接:
https://github.com/apache/logging-log4j2
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2