近日，Apache Log4j 被曝出高危漏洞，已影响大半个互联网圈。该漏洞正被勒索、挖矿、僵尸网络广泛利用，据统计，该漏洞影响6万+流行开源软件，影响70%以上的企业线上业务系统。90% 以上基于 java 开发的应用平台都会受到影响。

北京时间12月9号深夜，Apache Log4j2被曝出一个高危漏洞，攻击者通过jndi注入攻击的形式可以轻松远程执行任何代码。随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复，依然未能完全解决问题，现在已经更新到2.15.0-rc2。该漏洞被命名为Log4Shell，编号CVE-2021-44228。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。因该组件使用极为广泛，利用门槛很低，危害极大。

检测工具下载

盛邦安全Apache Log4j2排查工具：http://www.boxuming.com/content/other/log4j2_detect_gui.zip

说明：2021.12.14更新到了V2.0，后续会持续更新，下载地址不变。