近日，赤豹安全實驗室監測到 Log4j 官方公開了一個遠端命令執行漏洞，利用已公開所有java開發系統中的呼叫log4j的都有可能受到影響。該漏洞影響範圍廣，利用難度低，請相關使用者及時修復並加以防範 ，防止漏洞攻擊發生。

漏洞介紹

Apache Log4j 2 是一款基於Java的優秀開源日誌框架，被大量用於業務系統開發，用來記錄日誌資訊。由於Apache Log4j 2某些功能存在遞迴解析功能，攻擊者可直接構造惡意請求，觸發遠端程式碼執行漏洞。

影響版本

Apache Log4j 2.x <= 2.14.1

漏洞級別

嚴重 

使用者只要排查Java應用是否引入log4j-api , log4j-core 兩個jar。若存在極可能會受到影響。

修補建議

該漏洞影響範圍廣，利用難度低，赤豹安全實驗室建議相關使用者及時修復並加以防範 ，防止漏洞攻擊發生。

1、升級Apache Log4j2所有相關應用到最新的 log4j-2.15.0-rc1 版本，地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

2、升級已知受影響的應用及元件，如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid