【漏洞说明】      

Apache Log4j2 是一个基于 Java 的日志记录工具，攻击者可以通过发送精心构造的数据请求到使用Apache Log4j 作为日志组的应用系统来利用此漏洞，对攻击者的恶意输入进行打印的情况下，将触发远程代码执行漏洞。

【漏洞影响】

远程代码执行，植入后门、盗取数据、加密文件

【影响版本】      

Apache Log4j 2.x <= 2.14.1           

【漏洞分析及修复方案】

1、星空标准产品未使用Apache Log4j2 组件，没有log4j2的远程代码执行漏洞。

2、安装BBC的星空环境，在BBC安装目录中包含log4j2组件。但实际程序并未使用，也不受Apache Log4j2 漏洞影响。

3、如担心有影响，可以直接从BBC安装目录（具体目录，如：c:\Program Files (x86)\Kingdee\K3Cloud\BBCMallSite\WEB-INF\lib）中删除log4j-api-2.2.jar和log4j-core-2.2.jar，（注意：需要停止tomcat才能删除） 。