海旗派的朋友们，您们好！

12月11日阿里云安全团队在Web服务器软件Apache下的开源日志组件Log4j内，发现Log4Shell漏洞。这一漏洞可以让网络攻击者无需密码就能访问网络服务器。

网络安全专家认为，这一漏洞潜在危害极大，甚至可能是“计算机历史上最大的漏洞”。Apache软件基金会已将这一漏洞的严重性列为最高。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。

为避免您的业务数据受到影响，我司建议您及时进行自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

据了解，此次漏洞是由 Log4j2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在处理数据时，并未对输入（如${jndi）进行严格的判断，从而造成注入类代码执行。

是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。

为避免您的业务数据受到影响，我司建议您及时进行自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

据了解，此次漏洞是由 Log4j2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在处理数据时，并未对输入（如${jndi）进行严格的判断，从而造成注入类代码执行。

Java类产品：Apache Log4j 2.x < 2.15.0-rc2

受影响的应用及组件（包括但不限于）如下：

Apache Solr、Apache Flink、Apache Druid、Apache Struts2、srping-boot-strater-log4j2等。

更多组件可参考如下链接：

https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1

（1）设置jvm参数 -Dlog4j2.formatMsgNoLookups=true

（2）设置log4j2.formatMsgNoLookups=True。

（3）设置系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 为 true。

（4）采用 rasp 对lookup的调用进行阻断。

（5）采用waf对请求流量中的${jndi进行拦截。

（6）禁止不必要的业务访问外网。

海旗派客户（限使用海旗派服务器的客户）无需担心此漏洞，我们已经安排专门团队对该技术漏洞进行修补。