关于我们

Apache Log4j是一个基于Java的日志记录工具。它是由Ceki Gülcü首创的，现在则是Apache软件基金会的一个项目。log4j是几种Java日志框架之一。Gülcü此后开创了SLF4J和Logback 项目，意图成为log4j的继任者。

漏洞复现

影响版本：

Apache Log4j 2.x <= 2.14.1

版本描述

1.Log4j 2.14.1 现在可用于生产。Log4j 2 的 API 与 Log4j 1.x 不兼容，但是可以使用适配器来允许应用程序继续使用 2.Log4j 1.x API。适配器也可用于 Apache Commons Logging、SLF4J 和 java.util.logging。

3.Log4j 2.14.1 是 Log4j 的最新版本。从 Log4j 2.13.0 开始，Log4j 2 在运行时需要 Java 8 或更高版本。此版本包含可在最新更改报告中找到的新功能和修复程序。

4.Log4j 2.14.0 包含一个新的布局JsonTemplateLayout，旨在最终取代 JsonLayout。顾名思义，它使用模板来定义要包含在 JSON 中的元素。此布局由 GitHub 上 log4j2-logstash-layout 的作者贡献，他现在是 Log4j 社区的成员。

5.Log4j 2.14.0 添加了对 MongoDB 4 的支持并删除了对 MongoDB 2 的支持。

6.Log4j 2.14.1 保持与以前版本的二进制兼容性。

参考：

• https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues

• https://github.com/apache/logging-log4j2/pull/608

• https://gitbox.apache.org/repos/asf?p=logging-log4j2.git;a=blob;f=log4j-core/src/test/java/org/apache/logging/log4j/core/lookup/JndiRestrictedLookupTest.java;h=032c9c4d85204e6490a734724c8d549c50de7164;hb=d82b47c

修复建议：

1.将Apache log4j2的所有相关应用程序升级至全新的log4j-2.15 0-rc1版本，地址：https:

github.comapachelogging-log4j2releasestaglog4j-2.15.0-rc1

2 升级目前被受影响的程序和组件，例如srping-boot-strater-log4j2Apache SolrApache FlinkApache Druid