Apache Log4j2是一個基於Java的日志記錄工具。該工具重寫了Log4j框架,並且引入了大量豐富的特性。該日志框架被大量用於業務系統開發,用來記錄日志信息。大多數情況下,開發者可能會將用戶輸入導致的錯誤信息寫入日志中。此次漏洞觸發條件為只要外部用戶輸入的數據會被日志記錄,即可造成遠程代碼執行。
該漏洞影響范圍極廣,漏洞危害極大。
官方已發布補丁
官方補丁 :
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
但是並沒有編譯包,我使用此源碼編譯了一下,jar包放在了github上
https://github.com/stardust1900/log4j-2.15.0