天津市通信管理局关于网络产品Apache Log4j2安全漏洞的预警

近日，工业和信息化部网络安全威胁和漏洞信息共享平台监测发现Apache Log4j2存在远程代码执行漏洞，当程序将用户输入数据记录到日志时，即可触发此漏洞，攻击者可直接构造恶意请求，在目标服务器上远程执行任意代码。该漏洞影响Apache Log4j-2.14.1及以下版本，以及Apache Struts2、Apache solr、Apache flink、Apache Druid等众多开源组件。

该漏洞利用无需特殊配置，且利用代码已经公开，可对使用Apache Log4j2产品或服务安全运行造成重大影响，危害严重。目前，Apache官方已发布补丁（https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rcl）。建议相关单位立即排查自身产品或系统中Apache Log4j2使用情况，升级到Log4j-2.15.0-rcl版本，并升级Apache Struts2、Apache solr、Apache flink、Apache Druid等受影响的应用及组件，及时消除隐患。