关于Apache Log4j2远程代码执行漏洞

漏洞描述
近日，互联网中出现Apache Log4j2远程代码执行漏洞，攻击者可利用该漏洞构造特殊的数据请求包，最终触发远程代码执行。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。

由于Apache Log4j2在JAVA应用中使用量大，目前已知受影响的组件应用有：Apache Struts2、Apache Solr、Apache Druid、Apache Flink，但问题不仅仅局限在这些项目，用Java开发的系统都有可能用此日志框架。

影响范围
Apache Log4j 2.x <= 2.14.1

修复建议
升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc1版本，地址https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

参考链接
https://github.com/apache/logging-log4j2

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1