微軟、蘋果都受波及!日誌框架Apache Log4j爆漏洞,堪稱近10...
微軟、蘋果都受波及!日誌框架Apache Log4j爆漏洞,堪稱近10年最大資安威脅來源:https://bit.ly/3oUqCFi
相關報導:
https://bit.ly/3EYwLGc
https://bit.ly/3DXmTeg
https://bit.ly/3DQSe2x
https://bit.ly/3EWVI4F
Log4j是Apache軟體基金會下的一個專案,基於Java開發而成,多被Java開發人員用於查找錯誤。由於使用範圍極為廣泛,從雲端服務到企業軟體中均有使用,這個被稱作Log4Shell的漏洞也被認為是有史以來最嚴重的資安漏洞。
編號為CVE-2021-44228的日誌框架系統Apache Log4j名為Log4Shell的重大漏洞,肇因於某些功能存在遞迴解析功能,存在觸發遠端程式碼JNDI注入執行漏洞,而攻擊者可直接發出惡意請求,這可能讓駭客透過網路侵入數以百萬款程式,蘋果 iCloud、遊戲平台Steam等都可能淪為駭客攻擊目標。
有關 Apache Log4j2 漏洞相關報導
Worst Apache Log4j RCE Zero day Dropped on Internet
https://www.cyberkendra.com/2021 ... day-dropped-on.html
Apache Log4j2 远程代码执行漏洞分析
https://www.anquanke.com/post/id/262668
Digging deeper into Log4Shell - 0Day RCE exploit found in Log4j
https://www.fastly.com/blog/digg ... loit-found-in-log4j
https://github.com/NCSC-NL/log4shell/tree/main/software
一串指令就能入侵伺服器,Log4j爆出史上最嚴重漏洞
曾阻止綁架軟體WannaCry的資安研究人員馬庫斯.霍金斯(Marcus Hutchins)也在推特上評論,「Log4j的漏洞非常嚴重,上百萬個應用程式使用Log4j來紀錄,駭客只要一串指令就能發動攻擊。」
他在文中以Minecraft為例,駭客只要在對話框貼入一串訊息,就能遠端執行伺服器上的程式碼。
資安分析公司GreyNoise發布推文表示,公司已經檢測到許多伺服器正在網上搜索易受此漏洞攻擊的設備。
漏洞牽涉範圍廣,外界擔憂駭客攻擊可能將增加
該漏洞最初由阿里巴巴旗下雲端資安團隊所發現,並在11月24日向Apache軟體基金會回報,雖然該基金會已經推出修復程式,但還不能放心,使用Log4j日誌框架的服務眾多,必須由所有者自行更新才能修補漏洞。
已有資安人員在GitHub上,列出經確認面臨Log4j漏洞威脅的大型企業,從蘋果、亞馬遜、特斯拉、Google到Steam、LinkedIn、Webex等,受害範圍非常廣泛。
頁:
[1]