【漏洞说明】

      Apache Log4j2 是一个基于 Java 的日志记录工具，攻击者可以通过发送精心构造的数据请求到使用Apache Log4j 作为日志组的应用系统来利用此漏洞，对攻击者的恶意输入进行打印的情况下，将触发远程代码执行漏洞。     

【漏洞影响】

      远程代码执行，植入后门、盗取数据、加密文件     

【影响版本】

      Apache Log4j 2.x <= 2.14.1       

【漏洞分析及修复方案】            

1、EAS Cloud标准产品没有使用log4j2。标准产品用的log4j1，不受此漏洞影响。

2、Web管理控制台、Struts2安全加固引用了log4j-api-2.12.1.jar包，不过并没有引用log4j-core-2.x，经分析jar包本身没有用到，不受Apache Log4j2 漏洞影响。

3、如担心有影响，应用服务器中如发现eas/admin/lib/webmonitor/lib/下有log4j-api-2.12.1.jar包进行删除。私包目录/server/lib/sp/下如有log4j-api-2.12.1.jar包进行删除，同时把log4j-api-2.16.0.jar包上传到/server/lib/sp/目录下。

包删除后重启下GUI的管理控制台（通过管理控制台界面中的重启管理控制台服务重启或杀掉管理控制台的进程再重启）。

如果没有发现log4j-api-2.12.1.jar包则不用做处理。

log4j-api-2.16.0.zip