简介

CVE-2021-44228 是 Apache Log4j 2 日志组件中的一个高危漏洞，被称为 “Log4Shell”。Log4j 在全球范围使用极广，因此该漏洞在发现后迅速受到高度关注，被视为近年来影响最广的安全漏洞之一。

原理

Log4j2 在处理日志信息时，会对 ${} 格式的字符串进行解析。漏洞源于 Log4j2 默认开启了 JNDI Lookup 功能，导致程序在记录日志时，若输入中包含特定格式的 JNDI 地址，Log4j 会尝试从远程服务器加载对象。由于缺乏严格限制，错误的输入解析行为会触发 Log4j 从外部来源加载未可信内容，从而带来严重的安全问题。

影响

一旦触发，攻击者可以让目标系统访问由他们控制的远程资源，对系统构成严重威胁。受影响的范围非常广，包括网站、后台服务、企业管理软件、云服务组件等。该漏洞曾导致大量企业紧急停机处理，风险等级被评为最高级别。

防护

升级 Log4j 的版本；
禁用不必要的 JNDI 功能；
检查业务日志输入路径，对用户输入严格过滤。