尊敬的微信支付商户，您好！

微信支付安全团队监测发现，Apache Log4j2组件被披露存在严重远程代码执行漏洞。若您的系统使用了该开源组件，可能面临服务器被入侵、数据泄露等安全威胁，进而影响系统及资金安全。

为保障业务安全，建议您立即开展安全自查。如系统受影响，请及时升级至安全版本或采取临时缓解措施，防止被恶意攻击者利用。

漏洞详情

Apache Log4j2是一款广泛使用的Java日志记录工具，因配置便捷、功能强大，已成为众多Java应用和框架的基础组件。在特定场景下，攻击者可通过构造恶意日志内容触发远程代码执行，实现对服务器的完全控制。

由于Log4j2被大量Java框架集成，只要应用使用Log4j2输出日志且日志内容可被外部控制，即存在被攻击风险。该漏洞影响范围广泛，涉及以下主流组件：

Apache Struts2

Apache Solr

Apache Druid

Apache Flink

Apache Flume

Apache Dubbo

Apache Kafka

Spring-boot-starter-log4j2

ElasticSearch

Logstash

…

风险等级

高风险

漏洞风险

攻击者可利用该漏洞在目标服务器上执行任意代码，可能导致系统失陷、数据窃取、服务中断等严重后果。

影响版本

Apache log4j 2.x < 2.15.0-rc2

修复建议

请密切关注官方更新动态，并监控服务器是否存在异常行为。

建议排查Java应用是否引入log4j-api和log4j-core相关JAR包。如存在使用，请尽快采取以下措施：

1. 升级至官方安全版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2. 临时缓解方案：

（1）禁止非必要业务访问外网

（2）设置JVM参数：-Dlog4j2.formatMsgNoLookups=true

（3）配置log4j2.formatMsgNoLookups=True

（4）将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设为true

【提醒】：升级前请务必做好数据备份，避免操作异常导致业务中断。

参考链接

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

官方推荐依赖分析工具：

maven：https://maven.apache.org/plugins/maven-dependency-plugin/usage.html#dependency:tree

gradle：https://docs.gradle.org/current/userguide/viewing_debugging_dependencies.html

IDEA开发工具：

https://www.jetbrains.com/help/idea/dependencies-analysis.html#dependency-viewer

微信支付全球团队

2021年12月16日