紧急！ApacheLog4j2漏洞播报

原标题：紧急！Apache Log4j 2漏洞播报

2021年12月9日晚，开源项目Apache Log4j 2的一个远程代码执行漏洞的利用细节被公开。而公开漏洞时，该漏洞被认为是影响了2.0至2.14.1-rc1的所有版本。但技术人员在后续的实际测试中发现，12月7日上午更新的2.15.0-rc1版本依然存在触发该漏洞的可能性。最终在利用细节被公布的几小时后——12月10日凌晨2点半左右，Apache Log4j 2更新至了2.15.0-rc2版本，至此漏洞才确认被修复。

Apache Log4j是一个基于Java的日志记录工具，目前是Apache软件基金会下的一个开源项目。而此次出现漏洞的Apache Log4j 2则是目前该项目的最新版本，由于其优异的性能而被广泛的应用于各种常见的Web服务中。

也正因该项目本身应用广泛，而此次漏洞的修复滞后且利用门槛极低，再加上大量Web应用出于各种原因尚未甚至无法更新到最新安全版本，导致此次事件给整个互联网带来了极大的安全隐患。

在野攻击

经过360的技术人员验证，确认目前放出的利用代码确实可以成功触发该漏洞，并且操作门槛并不高。