更多

    日誌框架 Apache Log4j 爆嚴重漏洞 影響範圍廣泛 iCloud 、 Steam 、 Minecraft 均中彈

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    一款獲不少企業採用的 Java 日誌框架 Apache Log4j 日前被發現存在漏洞( Log4Shell ),黑客可以透過特製的資料請求封包在伺服器上執行任意程式碼⋯⋯聽起來好像跟我們用家無關,不過如果說連 Apple iCloud 、遊戲平台 Steam 甚至自建的 Minecraft 伺服器都用這套日誌框架的話,可想而知波及範圍有多大。

    這個漏洞影響 Apache Log4j 版本 2.0 至 2.14.1 ,但亦有報告指出 1.x 版本亦有同樣漏洞,而且這漏洞的 PoC 槪念驗證程式碼已經流出,相信很快就會被黑客利用。

    雖然 Apache 方面前天已經發佈 2.15.0-rc1 修補漏洞,不過不久就被保安專家發現繞過修補的方法。今晨, Apache 再透過 GitHub 發佈 2.15.0-rc2 作進一步修補。
    雖然 Apache 方面前天已經發佈 2.15.0-rc1 修補漏洞,不過不久就被保安專家發現繞過修補的方法。今晨, Apache 再透過 GitHub 發佈 2.15.0-rc2 作進一步修補。

    阿里雲的保安團隊早在 11 月 24 日就公布發現這個漏洞。雖然 Apache 方面前天已經發佈 2.15.0-rc1 修補漏洞,不過不久就被保安專家發現繞過修補的方法。今晨, Apache 再透過 GitHub 發佈 2.15.0-rc2 作進一步修補。

    有報告就發現利用這個漏洞,黑客只要在 Minecraft 的文字列裡留下特製的惡意留言,令它被記錄在伺服器日誌裡,就能夠遙距執行任意程式碼。著名的 Minecraft 「水龍頭 Spigot 」伺服器就已經關閉部分伺服器以修補漏洞。

    據網站保安產品的 LunaSec 報告指出, Apple iCloud 、 Steam 和 Minecraft 的伺服器都已被證實有這個漏洞。有保安專家就指出即使沒有直接使用 Log4j ,不過其實很多系統都以 Dependency 方式用到這個日誌框架,所以影響範圍其實很廣泛。由於要修補系統中所有 Log4j 漏洞工程浩大,相信不少公司都會選擇放任不管,成為不少企業系統的隱患。

    您會感興趣的內容

    相關文章