近日，基调听云关注到Apache Log4j2存在一处远程代码执行漏洞（CVE-2021-44228），在引入Apache Log4j2处理日志时，会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。目前POC已公开，风险较高。

12月16日，官方披露低于2.16.0版本除了存在拒绝服务漏洞外，还存在另一处远程代码执行漏洞（CVE-2021-45046）。

12月18日，官方继续发布了2.17.9版本，用于修复CVE-2021-45105漏洞。

参考链接：https://logging.apache.org/log4j/2.x/security.html

CVE-2021-44228 10.0 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)

CVE-2021-45046 9.0 (AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H)

CVE-2021-45105 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

影响版本：

2.0-beat9 <= Apache Log4j 2.x < 2.17.0（2.12.2 版本不受影响）

已知受影响的应用及组件：spring-boot-starter-log4j2/Apache Solr/Apache Flink/Apache Druid

安全版本：

Apache Log4j 1.x 不受影响

Apache Log4j 2.17.0

影响产品：

基调听云性能监控平台，包括基调听云2.0、3.0以及Saas平台。

安全产品：

探针和collector不受影响。

目前官方已发布修复版本修复了该漏洞，请受影响的用户尽快升级Apache Log4j2所有相关应用到安全版本：https://logging.apache.org/log4j/2.x/download.html

Java 8（或更高版本）的用户建议升级到 2.17.0 版本；

Java 7 的用户建议升级到2.12.2版本，此版本是安全版本。

无法及时升级的用户，可参考官方建议将JndiLookup类从classpath中去除，并重启服务来进行风险规避：

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

基调听云受影响的Saas平台已于12月10日完成升级。

基调听云受影响的私有化版本已经提供相应的升级补丁。

基调听云会持续监测此漏洞及其变种攻击，使用基调听云的客户已经安排技术人员进行升级。