事件背景

        12月10日，看到朋友圈中已经有人在通宵修改、上线系统了。随即，又看到阿里云安全、腾讯安全部门发出的官方报告：”Apache Log4j2存在远程代码执行漏洞“，且漏洞已对外公开。
        看到相关消息，马上爬起来把所有项目的日志系统过滤一遍，还好老项目采用的log4j，新项目采用的logback，没有中招。随后就看到朋友圈铺天盖地的相关消息。
        作为一个史诗级的事件，紧急修改漏洞是必然的。作为程序员，如果看到这则消息，连去核查一下系统都做不到，那真的不是一个合格的程序员。
        经历过这次事件，不仅是看热闹而已，还要思考一下，作为小公司如何避免、提前预防、做好准备应对这类Bug。
        漏洞描述

        Apache Log4j2是一款优秀的Java日志框架，与Logback平分秋色，大量主流的开源框架采用了Log4j2，像Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。所以，这样一个底层框架出现问题，影响面可想而知。
        漏洞信息：Apache Log4j 2.15.0-rc1 版本存在漏洞绕过，需及时更新至 Apache Log4j 2.15.0-rc2 版本。

        影响范围：2.0