神魂顛倒論壇

 取回密碼
 加入會員
搜尋
檢視: 1272|回覆: 0
收起左側

[安全資訊] 微軟、蘋果都受波及!日誌框架Apache Log4j爆漏洞,堪稱近10...

[複製連結]
發表於 2021-12-15 14:02:43 | 顯示全部樓層 |閱讀模式
微軟、蘋果都受波及!日誌框架Apache Log4j爆漏洞,堪稱近10年最大資安威脅

來源:https://bit.ly/3oUqCFi
相關報導:
https://bit.ly/3EYwLGc
https://bit.ly/3DXmTeg
https://bit.ly/3DQSe2x
https://bit.ly/3EWVI4F

Log4j是Apache軟體基金會下的一個專案,基於Java開發而成,多被Java開發人員用於查找錯誤。由於使用範圍極為廣泛,從雲端服務到企業軟體中均有使用,這個被稱作Log4Shell的漏洞也被認為是有史以來最嚴重的資安漏洞。

編號為CVE-2021-44228的日誌框架系統Apache Log4j名為Log4Shell的重大漏洞,肇因於某些功能存在遞迴解析功能,存在觸發遠端程式碼JNDI注入執行漏洞,而攻擊者可直接發出惡意請求,這可能讓駭客透過網路侵入數以百萬款程式,蘋果 iCloud、遊戲平台Steam等都可能淪為駭客攻擊目標。

有關 Apache Log4j2 漏洞相關報導

Worst Apache Log4j RCE Zero day Dropped on Internet
https://www.cyberkendra.com/2021 ... day-dropped-on.html


Apache Log4j2 远程代码执行漏洞分析
https://www.anquanke.com/post/id/262668

Digging deeper into Log4Shell - 0Day RCE exploit found in Log4j

https://www.fastly.com/blog/digg ... loit-found-in-log4j

https://github.com/NCSC-NL/log4shell/tree/main/software



Apache Log4j

Apache Log4j


一串指令就能入侵伺服器,Log4j爆出史上最嚴重漏洞

曾阻止綁架軟體WannaCry的資安研究人員馬庫斯.霍金斯(Marcus Hutchins)也在推特上評論,「Log4j的漏洞非常嚴重,上百萬個應用程式使用Log4j來紀錄,駭客只要一串指令就能發動攻擊。」

他在文中以Minecraft為例,駭客只要在對話框貼入一串訊息,就能遠端執行伺服器上的程式碼。
資安分析公司GreyNoise發布推文表示,公司已經檢測到許多伺服器正在網上搜索易受此漏洞攻擊的設備。

ithome-security-alert-cve-2021-44228.png

Minecraft

Minecraft


漏洞牽涉範圍廣,外界擔憂駭客攻擊可能將增加

該漏洞最初由阿里巴巴旗下雲端資安團隊所發現,並在11月24日向Apache軟體基金會回報,雖然該基金會已經推出修復程式,但還不能放心,使用Log4j日誌框架的服務眾多,必須由所有者自行更新才能修補漏洞。

已有資安人員在GitHub上,列出經確認面臨Log4j漏洞威脅的大型企業,從蘋果、亞馬遜、特斯拉、Google到Steam、LinkedIn、Webex等,受害範圍非常廣泛。
S__8880197.jpg






您需要登入後才可以回帖 登入 | 加入會員

本版積分規則

Archiver|手機版|小黑屋|Flash2u論壇

GMT+8, 2022-5-17 12:40 , Processed in 0.083007 second(s), 24 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回覆 回到頂端 返回清單