Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写入日志中。
一、漏洞分析
公开日期:2021-12-10
漏洞编号:CNVD-2021-95914
危害等级:高危
漏洞描述:Apache Log4j2远程代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可利用该漏洞直接构造恶意请求,触发远程代码执行。
二、漏洞影响产品
2.0 <= Apache log4j2 <= 2.14.1
三、漏洞处置建议
厂商已提供漏洞修复方案,请关注厂商主页更新:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1