01配景先容

Apache Log4j2是一个基于Java的日志纪录工具。。。。。该工具重写了Log4j框架，，，，，并且引入了大宗富厚的特征。。。。。该日志框架被大宗用于营业系统开发，，，，，用来纪录日志信息。。。。。大大都情形下，，，，，开发者可能会将用户输入导致的过失信息写入日志中。。。。。

克日，，，，，网络上泛起 Apache Log4j2 远程代码执行误差，，，，，攻击者可使用该误差结构特殊的数据请求包，，，，，最终触发远程代码执行。。。。。

02误差形貌

攻击者可以通过发送全心结构的数据请求到使用Apache Log4j 作为日志组的应用系统来使用此误差，，，，，对攻击者的恶意输入举行打印的情形下，，，，，将触发远程代码执行误差。。。。。

履历证，，，，，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响，，，，，误差使用无需特殊设置。。。。。

受影响版本：

Apache Log4j 2.x < 2.15.0-rc2

03修复建议

1、建议受影响用户尽快升级到清静版本应尽快升级Apache Log4j-2 至2.15.0-rc2版。。。。。

官方清静版本下载可以参考以下链接：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、建议对 Apache Struts2/Apache Solr/Apache Flink/Apache Druid 等已知受影响的应用及组件举行升级。。。。。

3、暂时性缓解步伐（任选一种）

在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true；；；；；；

系统情形变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true；；；；；；

建设“log4j2.component.properties”文件，，，，，文件中增添设置“log4j2.formatMsgNoLookups=true”。。。。。