Apache Log4j 2（基于Java的日志记录工具）存在远程代码执行漏洞，经验证，该漏洞允许攻击者在应用服务器上执行任意代码，可导致服务器被攻击者控制。由于Apache Log4j 2应用广泛，请各单位联合供应商对管理的信息系统立即开展自查，升级相应组件，排除网络安全风险。

受影响应用系统：基于JAVA开发并使用以下版本Apache Log4j 2的应用系统。

漏洞影响版本：2.0 <= Apache Log4j 2 <= 2.14.1。

处置方式：

（1）升级Apache Log4j 2至最新安全版本，下载地址：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

（2）jvm参数 -Dlog4j2.formatMsgNoLookups=true

（3）log4j2.formatMsgNoLookups=True

（4）系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true 。