排行榜 统计
  • 建站日期:2017-05-20
  • 文章总数:90 篇
  • 评论总数:311 条
  • 分类总数:12 个
  • 最后更新:5月16日
推荐安全

日志框架 Apache Log4j 出现严重漏洞,影响范围广泛 iCloud、Steam、Minecraft 等服务

本文阅读 3 分钟
首页 安全 正文

Log4j

许多公司采用的Java日志框架Apache Log4j,前几天被发现存在漏洞。 黑客可以通过特制的数据请求包在服务器上执行任意代码……听起来好像和我们的用户没有关系,但如果你说如果连苹果iCloud、游戏平台Steam甚至自建Minecraft 服务器使用这种日志框架,影响的程度可想而知。

该漏洞影响Apache Log4j 2.0到2.14.1版本,但有报道称1.x版本也存在同样的漏洞,并且该漏洞的PoC验证码已经流出,相信会被利用 很快被黑客攻击。

GitHub

尽管Apache在前天发布了2.15.0-rc1来修补漏洞,但安全专家很快就找到了绕过补丁的方法。 今天早上,Apache 通过 GitHub 发布了 2.15.0-rc2 以进行进一步的修补。
阿里云安全团队早在11月24日就宣布发现该漏洞,虽然Apache前天发布了2.15.0-rc1补丁,但安全专家很快就找到了绕过补丁的方法。 今天早上,Apache 通过 GitHub 发布了 2.15.0-rc2 以进行进一步的修补。

Calculator

有利用此漏洞的报告。 黑客只要在 Minecraft 的文本行中留下特制的恶意信息并记录在服务器日志中,就可以远程执行任意代码。 著名的 Minecraft “Spigot”服务端已经关闭了一些服务器以修复漏洞。

Spigot

苹果 iCloud、Steam 和 Minecraft 服务器均已确认存在此漏洞。 有安全专家指出,即使不直接使用Log4j,其实很多系统都是以Dependency的方式使用这个日志框架的,所以影响范围其实非常广泛。 由于修复系统中所有Log4j漏洞的工作量巨大,相信很多企业都会选择放手,这已经成为很多企业系统的隐患。

本文来自投稿,不代表本站立场,如若转载,请注明出处:https://blog.idc.moe/archives/apache-log4j-zero-day-vulnerablity.html
KuaiCheDao SEA 10G 163 测评报告
« 上一篇 12-04
Lighthouse Router (二):在腾讯云轻量应用服务器上使用 MikroTik RouterOS 在数据中心之间配置隧道
下一篇 » 12-12

发表评论

成为第一个评论的人

作者信息

标签TAG