Apache Log4j2远程代码执行漏洞（CVE-2021-44228）

Apache Log4j2远程代码执行漏洞（CVE-2021-44228）

发布日期：2021-12-12

名称：Apache Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228)

级别：严重

描述信息：Apache Log4j2是一个基于Java的日志记录工具，是Log4j的升级，在其前身Log4j 1.x基础上提供了Logback中可用的很多优化，同时修复了Logback架构中的一些问题，是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发，用来记录日志信息。开发者可能会将用户输入造成的错误信息写入日志中。只要外部用户输入的数据会被日志记录，即可造成远程代码执行。

解决方案：建议用户设置“log4j2.formatMsgNoLookups=True”，或者设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”，或者将系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为true。