重庆师范大学关于ApacheLog4j2 远程代码执行漏洞的预警通知-重庆师范大学信息技术中心

校属各单位：

根据上级预警通知，Apache Log4j2存在远程代码执行漏洞（CNVD-2021-95914）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞利用细节已公开，Apache官方已发布补丁修复该漏洞。

一、漏洞影响范围

漏洞影响的产品版本包括：

Apache Log4j2 2.0-2.15.0-rc1

二、漏洞处置建议

目前，Apache官方已发布新版本完成漏洞修复，建议用户尽快进行自查，并及时升级至最新版本：

建议同时采用如下临时措施进行漏洞防范：

1）添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true；

2）在应用classpath下添加log4j2.component.properties配置文件，文件内容为log4j2.formatMsgNoLookups=true；

3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；

4）部署使用第三方防火墙产品进行安全防护。

目前已有多个学校接到上级部门关于该事件的安全威胁通告，鉴于该漏洞影响较广、危害较大，请各单位务必高度重视，立即组织技术人员进行自查，消除安全隐患。

信息技术中心

2021年12月13日