想必大家最近都被各大门户网站上曝光的有关log4j远程命令执行高危漏洞的新闻轰炸的快麻木了吧？部分网站甚至采用了“核弹级”这样的用词来形容此次log4j的反序列化漏洞，主要原因还是因为log4j在Java应用程序开发中被广泛采用，尤其是一些Java Web类的网站后台程序。

        关于这个高危漏洞，网上铺天盖地的文章介绍，这里就不多做赘述了，直接上最新的漏洞修复版的2.17.0（2.16.0）版本的官方下载地址：

        虽然，官方给出了两种压缩格式的包，但是经过Beyond Compare对解压后的压缩包里面的文件对比发现，这两个包里面的文件一模一样。

         因此，只需要下载其中之一即可，然后使用压缩包里面的文件（主要是两个文件：log4j-api-2.17.0.jar 和 log4j-core-2.17.0.jar）。覆盖生产服务器上的对应的文件，并且更新ClassPath文件中的文件名。如果生产服务器上部署的是微服务的话，可能就需要本地重新编译、打包、部署了。当然，这些覆盖和重新部署，肯定是基于本地测试通过为前提。建议这些工作由本项目的专业开发人员、测试人员配合完成。