12月9日晚，知名的开源项目Apache Log4j2被曝出存在任意代码执行漏洞，危险等级“高危”！据说，截至到12月10日12点，就已发现近1万次利用该漏洞的攻击行为。消息一出，各大社交平台随即引发激烈讨论，厂商忙着更新规则、用户忙着修复、领导忙着指挥、蓝狮登录 程序猿们忙着加班……

Apache Log4j2是什么？而这个被戏称为核弹级的漏洞，又到底是如何产生的？

先来说说Apache Log4j2，蓝狮平台 只要是编程语言，就离不开打日志。通过日志，我们可以清楚地了解程序的运行状况，排查运行中存在的问题。而Log4j2，是在Java技术栈中，用的比较多的一种日志输出框架。

设想我们准备通过日志输出一个Java对象，这个对象又不在程序中，它可能存在某个文件夹中，也可能存在网络的某个地方，这时该怎么办？

强大的Log4j2派上用场了，它不仅可以输出程序中的变量，还提供了一个叫Lookup的东西，用来输出更多内容。与此同时，它还帮我们把常见的查找途径都进行实现了，其中就包括JNDI。

简单来说，这个核弹级的漏洞就是Log4j2中存在JNDI注入漏洞，攻击者只需向目标输出一段代码，就可以触发漏洞，远程控制用户服务器。

一向重视客户信息安全的魔学院，早早就通过了安全等级保护三级认证，有知名安全领域公司腾讯云、知道创宇的众多安全产品护航，蓝狮用户注册 并未受此事件影响，不过我们的技术安全团队仍在持续关注事态发展，确保能快速响应变化并处理。

对了，技术的小伙伴们还给魔妹普及了两个Log4j2漏洞的应急处理方法：

禁用Lookup或JNDI服务

因为该漏洞的罪魁祸首是Lookup和JNDI，所以可以直接修改配置文件log4j2.formatMsgNoLookups=True或禁用JNDI服务。值得注意的是，一般产生问题的服务都是线上已经在跑的服务，禁用的时候要注意评估一下是否允许哦。

升级Apache Log4j

这次漏洞产生的影响范围主要是在Apache Log4j 2.x <= 2.14.1，所以另一个解决方法就是，直接升级Log4j。

正在刷手机的你，写程序时用到Log4j2了吗？有没有某个地方的输出，混进来外部参数了呢？赶快行动起来，来个翻天覆地的检查吧。