近日，Apache官方发布了多个安全漏洞的公告，包括Apache log4j 代码问题漏洞（CNNVD-202201-1425、CVE-2022-23307）、Apache Log4j SQL注入漏洞（CNNVD-202201-1421、CVE-2022-23305）、Apache log4j 代码问题漏洞（CNNVD-202201-1420、CVE-2022-23302）等。成功利用上述漏洞的攻击者可以在目标系统上执行恶意代码。Apache Log4j 1.x、Apache Chainsaw 2.1.0之前版本均受漏洞影响。目前，Apache官方已经发布了新版本修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、漏洞介绍

Apache Log4j是美国阿帕奇（Apache）基金会的一款基于Java的开源日志记录工具。

1、Apache log4j 代码问题漏洞（CNNVD-202201-1425、CVE-2022-23307）：

漏洞源于程序处理序列化数据时对输入验证不足导致，攻击者通过将特制数据传递给应用程序，从而执行任意代码。

2、Apache Log4j SQL注入漏洞（CNNVD-202201-1421、CVE-2022-23305）：

漏洞源于程序中的JDBCAppender对用户提供的数据过滤不严格导致，攻击者可利用漏洞向目标系统发送特制请求，进而在应用程序数据库中执行任意SQL命令。

3、Apache log4j 代码问题漏洞（CNNVD-202201-1420、CVE-2022-23302）：

漏洞源于程序处理序列化数据时对输入验证不足导致，攻击者可通过提供一个 TopicConnection-FactoryBindingName配置，使程序中的JMSSink执行JNDI请求，进而执行任意代码。

二、漏洞影响

成功利用上述漏洞的攻击者可以在目标系统上执行恶意代码。Apache Log4j 1.x、Apache Chainsaw 2.1.0之前版本均受漏洞影响。

三、修复建议

目前，Apache官方已经发布了新版本修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。