12月10日,平台发布了关于开源日志框架Apache Log4j2远程代码执行漏洞的风险提示(风险提示编号:RISK-202112100024),提供的安全版本是Log4j 2.15.0-rc1。验证发现,Log4j 2.15.0-rc1版本存在漏洞绕过问题,请及时更新至Log4j 2.15.0-rc2版本以修复漏洞。请各单位立即组织排查,有关系统是否使用了受漏洞影响的Apache Log4j2组件,及时采取防护措施,以免发生安全事件。
受漏洞影响的Apache Log4j2版本:
2.0 ≤Apache log4j2≤2.15.0-rc1
处置建议:
1.升级Apache Log4j2至最新安全版本:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2.缓解措施:
(1)jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2)log4j2.formatMsgNoLookups=True
(3)系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true
