漏洞详情
Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。
在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请求包,被日志信息记录即可触发远程代码执行。
经太白安全实验室验证,该漏洞危害等级为严重
影响范围
2.0 <= Apache log4j2 <= 2.14.1
影响判断方式:用户只需排查Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用,极大可能会受到影响。
漏洞复现
影响面非常广泛
官方补丁
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
