利用apache web服务器日志分析辨认攻击-Apache Log4j 漏洞安全问题升级

近日，Log4j 任意代码执行漏洞安全风险公告再次更新。

漏洞范围已增加到2.15.0版本。

Log4j 是一个开源项目利用apache web服务器日志分析辨认攻击，是 Log4j 的升级版。我们可以控制日志信息传递到控制台、文件、GUI组件等的目的地。通过定义每个日志信息的级别，我们可以更详细地控制日志生成过程。.

近日，奇安信CERT检测到Log4j中存在任意代码执行漏洞（CVE-2021-44228））。经分析，该组件存在Java JNDI注入漏洞。当程序记录用户输入的数据时，可以触发此操作。漏洞，可被成功利用以在目标服务器上执行任意代码。

2021年12月15日，奇安信CERT检测到Log4j正式发布Log4j拒绝服务攻击漏洞（CVE-2021-45046)安全公告），该漏洞可能导致非默认情况下的拒绝服务攻击配置，影响范围扩大。至2.15.0版本，奇安信CERT建议用户尽快升级到安全版本。

目前正式推出Log4j 2.16.0和Log4j 2.12.2两个版本，这两个版本默认禁用JNDI功能。

Java 8 版本用户可以升级到 Log4j 2.16.0 版本：

Java 7 版本用户可以升级到 Log4j 2.12.2 版本：

%2F2.12.2

请及时确认产品版本利用apache web服务器日志分析辨认攻击，及时采取升级措施，消除安全隐患。