Apache Log4j 2是一款开源的Java日志框架，被广泛地应用在中间件、开发框架与Web应用中，用来记录日志信息。

漏洞详情

近日，Apache 官方发布了 Apache Log4j 2 远程代码执行漏洞（CVE-2021-44832），在某些特殊场景下（如系统采用动态加载远程配置文件的场景等），有权修改日志配置文件的攻击者可以构建恶意配置，通过 JDBC Appender 引用JNDI URI 数据源触发JNDI注入，成功利用此漏洞可以实现远程代码执行。

漏洞复现



影响范围

2.0-beta7<= Apache Log4j2 <= 2.17.0
不包括更新修复版本2.3.2和2.12.4

修复建议

官方已发布安全版本，建议使用该组件的用户及时升级到 Log4j 2.3.2（适用于 Java 6）、2.12.4（适用于 Java 7）或 2.17.1（适用于 Java 8 及更高版本）。

下载链接：https://logging.apache.org/log4j/2.x/download.html

参考链接

https://logging.apache.org/log4j/2.x/security.html