大工网安告[2021]039号

一、情况分析

近日，监测发现互联网中出现 Apache Log4j2 的多个安全漏洞。目前，Apache Log4j正式发布Apache Log4j 2.17.0，该版本重点解决当前曝光的三个漏洞，分别是安全漏洞CVE-2021-45105、安全漏洞CVE-2021-45046、安全漏洞CVE-2021-44228、除此以外还带来了一些新功能，如API与实现分开，此外还支持多种API，添加对对 Log4j 1.2、SLF4J、Commons Logging 和 java.util.logging (JUL) API 的支持。由于漏洞影响范围极广，建议广大用户及时排查相关漏洞。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。由于Apache Log4j2在JAVA应用中使用量大，目前已知受影响的组件应用有：Apache Struts2、Apache Solr、Apache Druid、Apache Flink，但问题不仅仅局限在这些项目，用Java开发的系统都有可能用此日志框架。

二、影响范围

Apache Log4j 2.x <= 2.14.1

三、处置建议

升级至最新版本：https://logging.apache.org/log4j/2.x/download.html

参考链接：

https://github.com/apache/logging-log4j2