Apache Log4j 2(基于Java的日志记录工具)存在远程代码执行漏洞,经验证,该漏洞允许攻击者在应用服务器上执行任意代码,可导致服务器被攻击者控制。由于Apache Log4j 2应用广泛,请各单位联合供应商对管理的信息系统立即开展自查,升级相应组件,排除网络安全风险。
受影响应用系统:基于JAVA开发并使用以下版本Apache Log4j 2的应用系统。
漏洞影响版本:2.0 <= Apache Log4j 2 <= 2.14.1。
处置方式:
(1)升级Apache Log4j 2至最新安全版本,下载地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
(2)jvm参数 -Dlog4j2.formatMsgNoLookups=true
(3)log4j2.formatMsgNoLookups=True
(4)系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true 。