Apache Log4j 是 Apache 的一个开源项目，Apache log4j-2 是 Log4j 的升级，我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等，通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。

一、漏洞详情

近日，互联网披露监测到Apache Log4j任意代码执行漏洞。Log4j-2中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。鉴于此漏洞危害较大，建议客户尽快采取措施防护此漏洞。

二、影响范围

Apache Log4j 2.x <= 2.15.0-rc1

三、修复方案

官方已发布安全更新，请及时升级至最新版本。

下载地址：https://logging.apache.org/log4j/2.x/download.html。

四、临时解决方案：

1、设置jvm参数：

“-Dlog4j2.formatMsgNoLookups=true”；

2、添加log4j2.component.properties配置文件，设置：

“log4j2.formatMsgNoLookups=True”；

3、系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”；

4、若相关用户暂时无法进行升级操作，也可通过禁止Log4j中SocketServer类所启用的socket端对公网开放来进行防护；

5、禁止安装log4j的服务器访问外网，并在边界对dnslog相关域名访问进行检测。部分公共dnslog平台如下：

ceye.io

dnslog.link

dnslog.cn

dnslog.io

tu4.org

awvsscan119.autoverify.cn

burpcollaborator.net

s0x.cn