突发！Log4j 再爆“史诗级”漏洞，Kafka、Elasticsearch等均受影响，速查！修复！...

点击上方“Java精选”，选择“设为星标”

别问别人为什么，多问自己凭什么！

下方有惊喜留言必回，有问必答！

每天 08:15 更新文章，每天进步一点点...

Log4j 2发布于2014年。Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。Log4j 2是对Log4j的重大升级，完全重写了log4j的日志实现。Log4j 2提供了Logback中可用的许多改进，同时修复了Logback架构中的一些固有问题，目前已经更新到2.15.0版本。

漏洞简介

Log4j 1.2版本中包含一个SocketServer类，在未经验证的情况下，该SocketServe类很容易接受序列化的日志事件并对其进行反序列化，在结合反序列化工具使用时,可以利用该类远程执行任意代码。目前官方已在Apache Log4j 2.8.2版本之后修复了该漏洞。

而再次爆出“史诗级”漏洞是由于Apache Log4j 2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

漏洞危害

攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制用户受害者服务器。

漏洞影响范围