Share This

Hot News 微軟、蘋果都受波及！日志框架Apache Log4j爆漏洞，堪稱近10年最大資安威脅｜數位時代BusinessNext @ 2021-12-14T12: Back Hot News Keyword：中國 財長 Concept： 編號ＣＶＥ-２０２１-４４２２８的漏洞發生於開源日志資料庫ＬＯＧ４Ｊ。ＬＯＧ４Ｊ的ＪＮＤＩ功能可用於組態、紀錄訊息，包含於許多軟體專案中，包括ＡＰＡＣＨＥ ＳＴＲＵＴＳ２、ＡＰＡＣＨＥ ＳＯＬＲ、ＡＰＡＣＨＥ ＤＲＵＩＤ、ＡＰＡＣＨＥ ＦＬＩＮＫ等。用戶涵括全球最知名網路服務或網站，如蘋果ＩＣＬＯＵＤ、推特（ＴＷＩＴＴＥＲ）、微軟游戲《ＭＩＮＥＣＲＡＦＴ》及ＶＡＬＶＥ游戲平台ＳＴＥＡＭ等，此外ＥＬＡＳＴＩＣＳＥＡＲＣＨ、ＥＬＡＳＴＩＣ ＬＯＧＳＴＡＳＨ、ＲＥＤＩＳ及美國國安局的ＧＨＩＤＲＡ、以及ＣＬＯＵＤＦＬＡＲＥ、騰訊、百度等大型網站服務也都使用這項元件。 ＬＯＧ４Ｊ是ＡＰＡＣＨＥ軟體基金會下的一個專案，基於ＪＡＶＡ開發而成，多被ＪＡＶＡ開發人員用於查找錯誤。由於使用范圍極為廣泛，從雲端服務到企業軟體中均有使用，這個被稱作ＬＯＧ４ＳＨＥＬＬ的漏洞也被認為是有史以來最嚴重的資安漏洞。 ＡＰＡＣＨＥ ＬＯＧ４Ｊ ２是基於ＪＡＶＡ的日志框架，近日他們發布了新版本２．１５．０，當中修補了一項遠端程式碼執行漏洞，用戶盡速升級最新版本。根據阿里雲安全團隊的說明，ＡＰＡＣＨＥ ＬＯＧ４Ｊ２的某些功能存在遞回解析功能，而攻擊者可直接構造惡意請求，觸發遠端程式碼執行漏洞，並指出ＡＰＡＣＨＥ ＳＴＲＵＴＳ２、ＡＰＡＣＨＥ ＳＯＬＲ、ＡＰＡＣＨＥ ＤＲＵＩＤ、ＡＰＡＣＨＥ ＦＬＩＮＫ都受影響。目前ＣＶＥ漏洞編號ＣＶＥ-２０２１-４４２２８僅從ＧＩＴＨＵＢ ＡＤＶＩＳＯＲＹ ＤＡＴＡＢＡＳＥ找到相關資訊，ＮＩＳＴ ＮＶＤ尚未公開。 （觀察者網 訊）據美聯社１２月１１日報道，中國阿里雲安全團隊在ＷＥＢ服務器軟件阿帕奇（ＡＰＡＣＨＥ）下的開源日志組件ＬＯＧ４Ｊ內，發現一個漏洞ＬＯＧ４ＳＨＥＬＬ。這一漏洞的存在，可以讓網絡攻擊者無需密碼就能訪問網絡服務器。 據透露，１１月９日晚，開源項目ＡＰＡＣＨＥ ＬＯＧ４Ｊ ２的一個遠程代碼執行漏洞的利用細節被公開，隨後該漏洞被迅速公開。３６０安全大腦監測數據顯示，目前，黑客已從攻擊廠商升級為攻擊個人用戶，且攻擊態勢仍在加劇。甚至有一些惡意用戶利用該漏洞簡單的發起方式，在游戲的在線聊天中，發送一條帶漏洞觸發指令的消息，就可以對收到這條消息的用戶發起攻擊。

Mobile | Full

Forum rule | About Us | Contact Info | Terms & Conditions | Privacy Statment | Disclaimer | Site Map

Copyright (C) 2025 Suntek Computer Systems Limited. All rights reserved

Disclaimer : In the preparation of this website, 88iv endeavours to offer the most current, correct and clearly expressed information to the public. Nevertheless, inadvertent errors in information and in software may occur. In particular but without limiting anything here, 88iv disclaims any responsibility and accepts no liability (whether in tort, contract or otherwise) for any direct or indirect loss or damage arising from any inaccuracies, omissions or typographical errors that may be contained in this website. 88iv also does not warrant the accuracy, completeness, timeliness or fitness for purpose of the information contained in this website.