log4j2的漏洞修复

log4j2的漏洞修复

简介

Log4j是Apache的一个开源项目，通过使用Log4j，可以控制日志信息输送的目的地是控制台、文件、GUI组件，甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等；也可以控制每一条日志的输出格式；通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程，这些可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码。

Apache Log4j2是Log4j的升级版本，该版本与之前的log4j1.x相比带来了显著的性能提升，并且修复一些存在于Logback中固有的问题的同时提供了很多在Logback中可用的性能提升，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

漏洞评级和影响版本

Apache Log4j 远程代码执行漏洞 严重

影响的版本范围：Apache Log4j 2.x <= 2.14.1

jdk与log4j2的版本对应关系

Log4j2.12.1是支持Java 7的最后2.x版本，Log4j2.3是支持Java 6的最后2.x版本，Log4j团队不再提供对Java 6或7的支持。

解决

升级Log4j版本为2.15.0以上即可解决。