[2021 年 第 07号]

近日，Apache Log4j2被曝存在远程代码执行漏洞，漏洞利用成功将导致用户应用系统及服务器系统被控制。

一、漏洞描述

Apache Log4j2 是一个基于 Java 的日志记录工具，大量的业务框架都使用了该组件，用来记录日志信息。由于Apache Log4j 2 某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

二、影响范围

Apache Log4j 2.x <= 2.14.1

三、安全防范建议

1、升级官方补丁

见https://github.com/apache/logging-log4j2/releases /tag/log4j-2.15.0-rc1

2、临时解决方案

①设置jvm 参数 “-Dlog4j2.formatMsgNoLookups=true”，

设置“log4j2.formatMsgNoLookups=True”，

系统环境“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS” 设置为 “true”，

②关闭相关应用的网络外连，禁止主动外连。

鉴于该漏洞较为严重，利用简单，请各业务系统负责人联系厂商进行联排，务必提高警惕，做好风险防范，避免因漏洞引起相关的网络安全事件。

若有疑问请联系信息化中心。