熱門新聞

微軟、蘋果都受波及!日志框架Apache Log4j爆漏洞,堪稱近10年最大資安威脅|數位時代BusinessNext @ 2021-12-14T12: 返回 熱門新聞
關鍵詞:中國 財長
概念:
編號CVE-2021-44228的漏洞發生於開源日志資料庫LOG4J。LOG4J的JNDI功能可用於組態、紀錄訊息,包含於許多軟體專案中,包括APACHE STRUTS2、APACHE SOLR、APACHE DRUID、APACHE FLINK等。用戶涵括全球最知名網路服務或網站,如蘋果ICLOUD、推特(TWITTER)、微軟游戲《MINECRAFT》及VALVE游戲平台STEAM等,此外ELASTICSEARCH、ELASTIC LOGSTASH、REDIS及美國國安局的GHIDRA、以及CLOUDFLARE、騰訊、百度等大型網站服務也都使用這項元件。
LOG4J是APACHE軟體基金會下的一個專案,基於JAVA開發而成,多被JAVA開發人員用於查找錯誤。由於使用范圍極為廣泛,從雲端服務到企業軟體中均有使用,這個被稱作LOG4SHELL的漏洞也被認為是有史以來最嚴重的資安漏洞。
APACHE LOG4J 2是基於JAVA的日志框架,近日他們發布了新版本2.15.0,當中修補了一項遠端程式碼執行漏洞,用戶盡速升級最新版本。根據阿里雲安全團隊的說明,APACHE LOG4J2的某些功能存在遞回解析功能,而攻擊者可直接構造惡意請求,觸發遠端程式碼執行漏洞,並指出APACHE STRUTS2、APACHE SOLR、APACHE DRUID、APACHE FLINK都受影響。目前CVE漏洞編號CVE-2021-44228僅從GITHUB ADVISORY DATABASE找到相關資訊,NIST NVD尚未公開。
(觀察者網 訊)據美聯社12月11日報道,中國阿里雲安全團隊在WEB服務器軟件阿帕奇(APACHE)下的開源日志組件LOG4J內,發現一個漏洞LOG4SHELL。這一漏洞的存在,可以讓網絡攻擊者無需密碼就能訪問網絡服務器。
據透露,11月9日晚,開源項目APACHE LOG4J 2的一個遠程代碼執行漏洞的利用細節被公開,隨後該漏洞被迅速公開。360安全大腦監測數據顯示,目前,黑客已從攻擊廠商升級為攻擊個人用戶,且攻擊態勢仍在加劇。甚至有一些惡意用戶利用該漏洞簡單的發起方式,在游戲的在線聊天中,發送一條帶漏洞觸發指令的消息,就可以對收到這條消息的用戶發起攻擊。

 
易發投資 | 首頁 |  登錄
流動版 | 完全版
論壇守則 | 關於我們 | 聯繫方式 | 服務條款 | 私隱條款 | 免責聲明
版權所有 不得轉載 (C) 2025
Suntek Computer Systems Limited.