通告

Apache Log4j 2 被披露出存在严重代码执行漏洞，目前官方还没有正式发布安全公告及版本，漏洞被利用可导致服务器被入侵等危害。

摸鱼派管理组已注意到摸鱼派的核心代码有符合条件的 Log4j 模块，我们已紧急对摸鱼派进行备份，并对此漏洞进行了修复与拦截。

请大家及时检查自己的 Java 项目，如果含有 Apache log4j2 >= 2.0, <= 2.14.1 版本的模块（请注意，一些 Web 框架可能会二次引入该模块，一定要仔细检查），请及时修复！

建议修复方法

官方暂未发布正式漏洞补丁及修复版本，请密切关注官方最新版本发布，并关注服务器的异常行为。

可考虑使用如下官方临时补丁进行修复：
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

该补丁包下载后需要解压，通过 mvn install 在本地编译并安装，再修改项目的 pom.xml 。

其他临时缓解措施：

1. 禁止没有必要的业务访问外网。
2. 设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”
3. 设置“log4j2.formatMsgNoLookups=True”
4. 系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

特别

感谢 @bulabula 在取得授权的情况下对摸鱼派进行渗透测试，并指出漏洞位置，特此发放 5000积分 奖励。

忠告

请不要在未经授权的情况下使用该漏洞的 PoC 攻击任何公网站点，这会导致你吃牢饭。