【问题描述】

Apache Log4j2是一个基于Java的日志记录工具，被大量用于业务系统开发。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞，在目标服务器上执行任意代码。该组件使用较为广泛，经排查达梦数据库有应用该组件。

【影响范围】

安装达梦数据库软件的服务器均存在风险，但仅涉及达梦的客户端

【解决方案】

1、进入达梦数据库软件的安装路径，查询log4j

cd $DM_HOME

find . -name  log4j*

./tool/dmagent/lib/log4j-core-2.14.0.jar

./tool/dmagent/lib/log4j-api-2.14.0.jar

./tool/dropins/com.dameng/plugins/com.dameng.third/log4j-core-2.14.0.jar

./tool/dropins/com.dameng/plugins/com.dameng.third/log4j-api-2.14.0.jar

./uninstall/lib/log4j-core-2.14.0.jar

./uninstall/lib/log4j-api-2.14.0.jar

2、将上面涉及到的log4j包进行升级替换即可，无需重启数据库服务

Log4j 2 官网下载地址：https://logging.apache.org/log4j/2.x/download.html。