高危或严重

漏洞影响范围
漏洞影响的产品版本包括：
Apache Log4j2 2.0 - 2.15.0-rc1

修复建议
官方已发布修复版本修复了该漏洞，请受影响的用户尽快升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本：
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
注：Apache Log4j 2.15.0-rc1 版本存在漏洞绕过，请及时更新至 Apache Log4j 2.15.0-rc2 版本。


建议同时采用如下临时措施进行漏洞防范：

1）添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true；

2）在应用classpath下添加log4j2.component.properties配置文件，文件内容为log4j2.formatMsgNoLookups=true；

3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；

4）部署使用第三方防火墙产品进行安全防护。


漏洞检测&防范

1. 在漏洞公开后，天翼领航第一时间响应，组织全省17个地市州专网驻场人员针对该漏洞进行检测。

2. 已针对该漏洞已进行了相应的防范措施和解决方案，帮助用户抵御漏洞风险的侵入。