Apache Log4j2 远程代码执行漏洞 [更新影响范围]

『更新影响范围』

Apache Log4j2 是一款开源的 Java 日志记录工具，大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。

影响范围:Apache Log4j 2.x < 2.15.0-rc2

综合评估利用难度低，利用要求少，影响范围很大，且已经被黑客公开利用全网扫描，根据部里要求，需要紧急修复。

修复方案:

1、紧急缓解措施：

（1） 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
（2） 修改配置log4j2.formatMsgNoLookups=True
（3） 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

2.升级到最新版本：

请联系厂商获取修复后的官方版本：
https://github.com/apache/logging-log4j2
目前最新版本2.15.0-rc2

3.禁止使用log4j服务器外连，升级idk 11.0.1 8u191 7u201 6u211或更高版本。