Log4j2远程代码执行漏洞原理与修复指南.pdfVIP

Log4j2简介

ApacheLog4j2是一款优秀的Java日志框架，Log4j2作为日志记录的第库，被广泛得

到使用。可以控制日志信息输送的目的地为控制台、文件、GUI组件等，通过定义每一条日志信

安全牛课

息的级别，能够更加细致地控制日志的生成过程。

因为存身Log4j，而且都是Apache下的项目，不管是jar包名称还是package名称，看

起来都很相似，导致有些人分不清自己用的是Log4j还是Log4j2。这里给出几个辨别方法：

1、Log4j2分为2个jar包，一个是接口log4j-api-${版本号}.jar，一个是具体实现

log4j-core-${版本号}.jar。Log4j只有一个jar包log4j-${版本号}.jar。

2、Log4j2的版本号目前均为2.x。Log4j的版本号均为1.x。

安全牛课堂

（CVE-2021-44228）产生：

Log4j2默认了Lookup功能，查找了一种在任意位置向Log4j配置添加值的方

法。它们是实现StrLookup接口的特定类型的插件。其中包括了对JNDILookup的支持，但是却