近日，Apache软件基金会官方发布公告，披露了一个Apache Log4j任意代码执行漏洞，攻击者利用漏洞可完全控制服务器。目前该漏洞POC（概念验证代码）已公开，且存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。网御星云漏洞扫描产品团队和基线核查产品团队第一时间对漏洞进行了紧急响应。

Apache Log4j是美国阿帕奇（Apache）基金会的一款基于Java的开源日志记录工具。Apache Log4j存在任意代码执行漏洞，攻击者可利用该漏洞在目标机器执行任意代码。该漏洞的综合评级为“高危”。

漏洞危害

以下产品及版本收到影响：

Apache Log4j -2<= 2.14.1

漏洞检测

网御星云漏洞扫描系统V6.0已于2021年12月10日紧急发布针对该漏洞的升级包，支持对该漏洞进行原理扫描，用户升级网御星云漏洞扫描系统漏洞库后即可对该漏洞进行扫描：

6070版本升级包为607000397，升级包下载地址：

https://leadsec.download.venuscloud.cn/

请网御星云漏洞扫描系统V6.0产品的用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快采取防范措施。

网御星云Web应用检测系统已于2021年12月10日紧急发布针对该漏洞的升级包，支持对该漏洞进行扫描，用户升级网御星云Web漏扫产品漏洞库后即可对该漏洞进行扫描：

升级包版本：7d_V2.9.8，升级包下载地址：

https://leadsec.download.venuscloud.cn/

请网御星云Web应用检测系统产品的用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快采取防范措施。

基线核查

网御星云安全配置核查管理系统已于2021年12月10日紧急发布针对该漏洞的核查资源包，支持对该漏洞进行核查，用户升级网御星云安全配置核查管理系统资源包后即可对该漏洞进行核查。

请网御星云安全配置核查管理系统产品的用户尽快升级最新资源包，及时对该漏洞进行检测，以便尽快采取防范措施。

漏洞修复建议

目前官方已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1