Log4j2漏洞處理公告

漏洞影響情況：

Apache Log4j2是一個基于Java的日志記錄工具，是Log4j的升級，在其前身Log4j 1.x基礎上提供了Logback中可用的很多優化，同時修復了Logback架構中的一些問題，是目前最優秀的Java日志框架之一。該日志框架被大量用于業務系統開發，用來記錄日志信息。開發者可能會將用戶輸入造成的錯誤信息寫入日志中。此次 Apache Log4j2 漏洞觸發條件為只要外部用戶輸入的數據會被日志記錄，即可造成遠程代碼執行。

漏洞的CVE編號：(CVE-2021-44228) 、(CVE-2021-45105)

漏洞被利用情況：

目前并未了解到有其他公共渠道對本文中提到的漏洞進行發布，以及漏洞被惡意利用的情況。

解決方案及版本更新計劃

升級應急指揮系統中的中臺組件版本，版本計劃如下：

請各項目聯系對應接口人，或者撥打400電話獲取升級包以及升級技術支持。

常見問題解答：

問題1：當前產品受影響情況？

答：當前產品并未使用log4j2作為日志記錄框架，只是引入spring框架時依賴此開源軟件，所以受影響可忽略不計，但是為了保險起見，還是需要進行升級修復。

問題2：如何判斷我的產品是否受影響？

答：目前發布的應急指揮系統所有版本都會受影響！