[网络协议]Apache Log4j2 远程代码执行漏洞

· 漏洞描述

Apache Log4j2是一款非常优秀的Java日志框架，在各大Java项目中广泛应用。12月9日，Apache官方发布了紧急安全更新，修复了Apache Log4j2中发现的远程代码执行漏洞。

由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。漏洞风险评级为严重。

·影响版本

Apache Log4j 2.x

此前Apache官方发布的2.15.0-rc1版本可以绕过，同样在漏洞影响范围之内。

·漏洞复现

漏洞POC和EXP均已公开，目前已存在大量攻击实例。

·修复建议

1.升级Apache Log4j 2至最新安全版本2.15.0-rc2：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2.升级已知受影响的应用及组件，如spring-boot-starter-log4j2/ApacheStruts2/ApacheSolr/ApacheDruid/Apache Flink。

临时解决方案：

1.设置jvm参数"-Dlog4j2.formatMsgNoLookups=true"；

2.设置系统环境变量

“FORMAT_MESSAGES_PATTERN_DIS-ABLE_LOOKU_PS"为"true”；

3.关闭应用的网络外连。