深入解析著名的阿里云Log4j 漏洞

几乎每个系统都会使用日志框架，用于记录日志信息，这些信息可以提供程序运行的上下文，但是日志过多也会影响系统的性能，所以好的日志框架应该是可靠，快速和可扩展的。

Apache Log4j2 是一个基于 Java 的日志工具，是Log4j的升级版本，引入了很多丰富的特性，包括高性能，低垃圾收集，插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。

一、事件起因

Log4j 漏洞最早由阿里云安全团队报告，其员工 Chen Zhaojun 于 11 月 24 日向 Apache 组织发送了一封邮件，在邮件中他写道，“我想报告一个安全漏洞，这个漏洞将会带来很大的影响”。该邮件详述了黑客可能会如何利用 Log4j 这一广泛使用的软件工具，实现所谓的远程代码控制，这是黑客的梦想，因为他们可以远程接管一台计算机。

Apache平台开始预警与测试修复，于12月初完成修补，随后阿里云在12月9日正式发布网络安全通报，并公布细节。这个漏洞的风险层级达到了CVSS满分10分，可能是近年最严重的安全漏洞之一。

不过工信部12月11号才知道有这事，作为近十年最大的系统漏洞，有报道称在漏洞修复前，国内七成的网站处于裸奔状态，等知道的时候，黄花菜已经凉了...

工信部依据2021年9月1号开始执行的《网络产品安全漏洞管理规定》第七条第二节“网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：...（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和