近日，基調聽云關注到Apache Log4j2存在一處遠程代碼執行漏洞（CVE-2021-44228），在引入Apache Log4j2處理日志時，會對用戶輸入的內容進行一些特殊的處理，攻擊者可以構造特殊的請求，觸發遠程代碼執行。目前POC已公開，風險較高。

12月16日，官方披露低于2.16.0版本除了存在拒絕服務漏洞外，還存在另一處遠程代碼執行漏洞（CVE-2021-45046）。

12月18日，官方繼續發布了2.17.9版本，用于修復CVE-2021-45105漏洞。

參考鏈接：https://logging.apache.org/log4j/2.x/security.html

CVE-2021-44228 10.0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

CVE-2021-45046 9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)

CVE-2021-45105 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

影響版本：

2.0-beat9 <= Apache Log4j 2.x < 2.17.0（2.12.2 版本不受影響）

已知受影響的應用及組件：spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid

安全版本：

Apache Log4j 1.x 不受影響

Apache Log4j 2.17.0

影響產品：

基調聽云性能監控平臺，包括基調聽云2.0、3.0以及Saas平臺。

安全產品：

探針和collector不受影響。

目前官方已發布修復版本修復了該漏洞，請受影響的用戶盡快升級Apache Log4j2所有相關應用到安全版本：https://logging.apache.org/log4j/2.x/download.html

Java 8（或更高版本）的用戶建議升級到 2.17.0 版本；

Java 7 的用戶建議升級到2.12.2版本，此版本是安全版本。

無法及時升級的用戶，可參考官方建議將JndiLookup類從classpath中去除，并重啟服務來進行風險規避：

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

基調聽云受影響的Saas平臺已于12月10日完成升級。

基調聽云受影響的私有化版本已經提供相應的升級補丁。

基調聽云會持續監測此漏洞及其變種攻擊，使用基調聽云的客戶已經安排技術人員進行升級。