Apache Log4j2远程代码执行漏洞有对应更新么？

是的，Apache Log4j2 远程代码执行漏洞已经得到了修复，您可以升级到最新版本以解决该漏洞。

这个漏洞被称为 Log4Shell，影响 Log4j 2.0.0 到 2.14.1 版本。攻击者可以通过构造恶意的日志消息触发漏洞，从而在目标服务器上执行任意代码。这是一个非常严重的漏洞，已经被评为 10 分的最高危级别。

Apache Log4j 项目组已经在 2021 年 12 月 11 日发布了 Log4j 2.17.0 版本，该版本修复了 Log4Shell 漏洞。如果您正在使用 Log4j2，建议您尽快升级到 2.17.0 版本或更高版本。

但是由于其存在递归解析功能，攻击者可以利用该漏洞构造恶意请求，触发远程代码执行漏洞。该漏洞影响范围广泛，包括Apache Struts2、Apache Solr、Apache Druid、Apache Flink等多个开源项目。因此，建议用户尽快采取安全措施，以防止漏洞攻击。

Aliyun Druid不是Apache Druid，Driud没有直接依赖log4j2，只是通过反射判断当前环境有什么log库就用什么库

原回答者GitHub用户wenshao

Apache Log4j2是一款广泛使用的Java日志框架，用于帮助开发者在应用程序中记录和管理日志信息。然而，在2021年11月24日，阿里云安全团队向Apache官方报告了一个严重的安全漏洞，影响了Apache Log4j2。

该漏洞允许攻击者利用Log4j2中的某些功能中的递归解析功能，通过构造恶意请求来触发远程代码执行。攻击者可以利用这个漏洞绕过应用程序的安全措施，并在受影响的系统上执行任意代码。

经过阿里云安全团队的验证，不仅Apache Log4j2本身受到漏洞影响，还发现其他一些流行的Apache项目，如Apache Struts2、Apache Solr、Apache Druid和Apache Flink等也受到了这个漏洞的威胁。

鉴于漏洞的危害性，阿里云应急响应中心建议所有使用Apache Log4j2的用户立即采取安全措施来阻止可能的攻击。这包括及时更新到最新版本的Log4j2，或者禁用受漏洞影响的功能。

此外，建议用户密切关注Apache官方的安全公告和建议，以获取最新的安全更新和补丁信息，并及时采取相应的措施来保护自己的系统免受潜在的攻击。