近日，Apache Log4j2 成为知名漏洞，其危害性使得该漏洞吸引了安全圈所有人的目光。融安网络为防止其继续扩大影响范围，特发布针对该漏洞的分析和修复建议。

一、漏洞介绍

Apache Log4j 是 Apache 实现的一个开源日志组件。Apache Log4j 2 是对 Log4j 的升级，它比其前身 Log4j1.x 提供了重大改进，并提供了 Logback 中可用的许多改进。Apache Log4j2 中存在远程代码执行漏洞，在使用特定的 JNDI 内容进行日志记录时可以触发反序列化漏洞，造成远程代码执行。

二、漏洞利用细节

漏洞评级：高危

CVSS评分：10（最高级）

该漏洞影响范围极广，危害极大。

漏洞状态：

三、漏洞编号

CVE漏洞编号暂未分配。

四、影响范围

Apache Log4j 2.x <= 2.14.1

五、修复建议

升级项目使用的 Apache Log4j2 到最新 log4j-2.15.0-rc2 版本，具体下载地址如下：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

未能及时升级的缓解措施： 

1.添加 jvm 参数 -Dlog4j2.formatMsgNoLookups=true

2. log4j2.formatMsgNoLookups=True

六、融安网络安全产品防护处理

已支持该漏洞的检测和防护。