Log4Shell 漏洞到底是什么？

如果你多少關注信息安全資訊，或許在最近幾天已經頻繁聽到Log4Shell這個漏洞的名字——或者一些更具傳播性的說法，諸如「互聯網正在著火」「過去十年最嚴重的漏洞」「現代計算機歷史上大漏洞」「難以想到哪家公司不受影響」之類（參見《洛杉磯時報》， 12 月 10 日 ）。

這個被報道得神乎其神的 Log4Shell 漏洞 所針對的，是一個極為常用的 Java 庫 Log4j（詳見后文說明）。值得一提，這個漏洞最初是由一名中國工程師、阿里云安全團隊的 Chen Zhaojun 在 11 月下旬發現并提報的。

有記錄的利用 Log4Shell 漏洞發起的攻擊開始于 12 月 9 日，最初是針對微軟的 Minecraft 游戲 Java 版。但人們很快發現 Log4Shell 的波及范圍遠不止于此。根據 GitHub 倉庫YfryTchsGD/Log4jAttackSurface中的攻擊案例截圖，Apple iCloud、QQ 郵箱、Steam 商店、Twitter、百度搜索等一系列國內外主流服務或平臺均存在該漏洞。

好在，Log4j 已經于 12 日 發布 2.15.0 版本 ，修復了漏洞，并且對于暫不能升級的舊版提供了臨時應對方案。

受影響的大型平臺也作出快速響應。10 日，Minecraft 發布 1.18.1 版，說明已修復了漏洞；亞馬遜發出 安全警告 稱，「正積極監控該問題，并已在尋求解決方案」；IBM、Red Hat、甲骨文、VMware 等知名科技公司也宣稱正在部署補??；Apple 盡管沒有官方回應，但根據 11 日的測試，原本受到影響的 iCloud 似乎也已經修復。此外，目前暫無因該漏洞導致重大安全事故的報道。

然而，由于該漏洞影響范圍之廣，受影響服務完成更新或修補仍需不少時間，因此近期內風險仍不可忽視。事實上，根據以色列安全公司 Check Point 的 監測 ，截至 12 月 12 日凌晨（太平洋時間），該公司已攔截到超過 40 萬次針對該漏洞的攻擊嘗試，其中 45% 以上為已知惡意團體所發起。另根據 BleepingComputer 的 報道 ，現已發現一些利用該漏洞安裝挖礦腳本、組建僵尸網絡和遠程監控的案例。

本文名稱：Log4Shell 漏洞到底是什么？
URL標題：http://m.kartarina.com/news4/146154.html

成都網站建設公司_創新互聯，為您提供做網站、移動網站建設、建站公司、網站制作、電子商務、網站設計

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯