近日，用于Java語言所開發系統的開源日志框架Apache Log4j2曝出遠程代碼執行漏洞，如果用戶輸入的數據通過該工具被日志記錄，攻擊者可構造特殊的數據請求包利用漏洞在目標設備上遠程執行惡意代碼。有專業機構監測發現該漏洞已被攻擊者利用，且漏洞細節已被公開。鑒于Apache Log4j2在業務系統中應用廣泛，請各單位立即組織排查，有關系統是否使用了受漏洞影響的Apache Log4j2框架，及時采取防護措施，以免發生安全事件。

       受漏洞影響的Apache Log4j2版本：

       2.0 ≤Apache log4j2≤2.14.1

處置建議：

       1.升級Apache Log4j2至最新安全版本：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

       2.緩解措施：

    （1）jvm參數 -Dlog4j2.formatMsgNoLookups=true

    （2）log4j2.formatMsgNoLookups=true

    （3）系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為true。