关于Apache Log4j2远程代码漏洞的安全提示信息
近期,Apache Log4j2 远程代码执行漏洞被公开,该漏洞影响范围广泛,危害极其严重。Apache Log4j2是一款Java日志框架,是ApacheLog4j的升级版。该程序可以控制每一条日志的输出格式,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。由于Apache Log4j2某些功能存在递归解析功能,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器最高权限。目前受影响的Apache Log4j2版本:Apache Log4j 2.0至Apache Log4j 2.14.1。
用户请及时对所管理服务器部署的Apache Log4j2程序版本进行排查。若为存在远程代码执行漏洞的版本,请及时将Apache Log4j2相关应用更新到最新的 log4j-2.15.0-rc1 版本,Apache官方程序下载地址为:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
图书馆
2021年12月10日