一、背景介绍

12月10日，中央网信办应急协调平台和市委网信办发布了关于开源日志框架Apache Log4j2远程代码执行漏洞的风险提示,提供的安全版本是Log4j 2.15.0-rc1。验证发现，Log4j 2.15.0-rc1版本存在漏洞绕过问题，请及时更新至Log4j 2.15.0-rc2版本以修复漏洞。    

1.1 漏洞等级：高危

二、修复建议

2.1 受影响版本：

受漏洞影响的Apache Log4j2版本：2.0 ≤Apache log4j2≤2.15.0-rc1

2.2 修复建议

1、升级Apache Log4j2至最新安全版本，下载地址：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、缓解措施：

（1）jvm参数 -Dlog4j2.formatMsgNoLookups=true    

（2）log4j2.formatMsgNoLookups=True

（3）系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true