天翎myapps及时响应，修复log4j漏洞，为客户安全保驾护航 | bpm-九游会平台靠谱吗

12月9日，互联网正式披露apache log4j2远程代码执行漏洞。攻击者可利用该漏洞构造特殊的数据请求包，最终触发远程代码执行。

apache log4j2是apache一款开源的java日志框架，该工具重写了log4j框架，并且引入了大量丰富的特性，被广泛用于业务系统开发，用来记录日志信息。

漏洞介绍

该漏洞主要因apache log4j2某些功能存在递归解析功能，导致存在jndi注入漏洞造成。

当程序将用户输入的数据记入日志时，攻击者通过构造特殊请求，来触发 apache log4j2 中的远程代码执行漏洞，从而利用此漏洞在目标服务器上执行任意代码。

据悉，此次 apache log4j2远程代码执行漏洞风险已被业内评级为“高危”，且漏洞危害巨大，利用门槛极低。

漏洞影响范围

受影响版本：2.0 <= apache log4j2 <= 2.14.1

受影响组件：apache solr、apache flink、apache druid、srping-boot-strater-log4j2

myapps低代码平台的应对方案

myapps低代码平台技术团队在监测到apache log4j2远程代码执行漏洞后，迅速采取了应急措施。

具体修复措施为，将平台log4j2日志框架替换成slf4j，从根本上杜绝漏洞的发生。

相比log4j2，slf4j 在下面这些方面更占优势：

1、简洁的占位符使用，降低代码中字符串连接次数，节省新建的string对象，优化了代码的可读性。

2、slf4j编译时静态绑定了真正了日志库,性能优于采用运行时搜寻的common-logging，而且可以在osgi中使用。

联系九游会平台靠谱吗

myapps平台现在已不受apache log4j2远程代码执行漏洞的影响，并正密切关注漏洞的最新进展。仍存疑问的客户，可以直接拨打我们的客户服务热线电话(400-678-0211)或者联系九游会贴吧官网在线客服咨询。