Apache Log4j2 远程代码执行漏洞预警公告

尊敬的开发者：

    今日国家信息安全漏洞共享平台（CNVD）收录了Apache Log4j2远程代码执行漏洞，通用漏洞编号CNVD-2021-95914。

Apache Log4j2是一款优秀的Java日志框架，由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞，漏洞利用无需特殊配置。漏洞等级为：高危。

目前受影响范围如下：

Apache Log4j 2.x < 2.15.0-rc2

建议使用相关组件的开发者进行自查，发现存在该漏洞后及时按照以下方案进行处置：

1、禁用lookup属性

    1）2.10.0 及以上版本，在 java 启动参数增加配置 -Dlog4j2.formatMsgNoLookups=true

    2）2.9.x 版本，升级至 2.10.0，再进行配置

2、更新至 Apache Log4j 2.15.0-rc2 版本，地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

3、开启waf防护，并确认waf已更新Apache Log4j远程代码执行规则

若有问题可以到支持中心提交工单。

阿里巴巴.开放平台

2021年12月10日