2022-04-22 分类: 网站建设
如果你多少关注信息安全资讯,或许在最近几天已经频繁听到Log4Shell这个漏洞的名字——或者一些更具传播性的说法,诸如「互联网正在着火」「过去十年最严重的漏洞」「现代计算机历史上大漏洞」「难以想到哪家公司不受影响」之类(参见《洛杉矶时报》, 12 月 10 日 )。
这个被报道得神乎其神的 Log4Shell 漏洞 所针对的,是一个极为常用的 Java 库 Log4j(详见后文说明)。值得一提,这个漏洞最初是由一名中国工程师、阿里云安全团队的 Chen Zhaojun 在 11 月下旬发现并提报的。
有记录的利用 Log4Shell 漏洞发起的攻击开始于 12 月 9 日,最初是针对微软的 Minecraft 游戏 Java 版。但人们很快发现 Log4Shell 的波及范围远不止于此。根据 GitHub 仓库YfryTchsGD/Log4jAttackSurface中的攻击案例截图,Apple iCloud、QQ 邮箱、Steam 商店、Twitter、百度搜索等一系列国内外主流服务或平台均存在该漏洞。
好在,Log4j 已经于 12 日 发布 2.15.0 版本 ,修复了漏洞,并且对于暂不能升级的旧版提供了临时应对方案。
受影响的大型平台也作出快速响应。10 日,Minecraft 发布 1.18.1 版,说明已修复了漏洞;亚马逊发出 安全警告 称,「正积极监控该问题,并已在寻求解决方案」;IBM、Red Hat、甲骨文、VMware 等知名科技公司也宣称正在部署补丁;Apple 尽管没有官方回应,但根据 11 日的测试,原本受到影响的 iCloud 似乎也已经修复。此外,目前暂无因该漏洞导致重大安全事故的报道。
然而,由于该漏洞影响范围之广,受影响服务完成更新或修补仍需不少时间,因此近期内风险仍不可忽视。事实上,根据以色列安全公司 Check Point 的 监测 ,截至 12 月 12 日凌晨(太平洋时间),该公司已拦截到超过 40 万次针对该漏洞的攻击尝试,其中 45% 以上为已知恶意团体所发起。另根据 BleepingComputer 的 报道 ,现已发现一些利用该漏洞安装挖矿脚本、组建僵尸网络和远程监控的案例。
本文名称:Log4Shell 漏洞到底是什么?
URL标题:/news4/146154.html
成都网站建设公司_创新互联,为您提供做网站、移动网站建设、建站公司、网站制作、电子商务、网站设计
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容