Log4Shell 漏洞到底是什么?
发布时间:2024-11-18 点击:33
如果你多少关注信息安全资讯,或许在最近几天已经频繁听到log4shell这个漏洞的名字——或者一些更具传播性的说法,诸如「互联网正在着火」「过去十年最严重的漏洞」「现代计算机历史上大漏洞」「难以想到哪家公司不受影响」之类(参见《洛杉矶时报》,
12 月 10 日 )。
这个被报道得神乎其神的 log4shell 漏洞 所针对的,是一个极为常用的 java 库 log4j(详见后文说明)。值得一提,这个漏洞最初是由一名中国工程师、阿里云安全团队的 chen zhaojun 在 11 月下旬发现并提报的。
有记录的利用 log4shell 漏洞发起的攻击开始于 12 月 9 日,最初是针对微软的 minecraft 游戏 java 版。但人们很快发现 log4shell 的波及范围远不止于此。根据 github 仓库yfrytchsgd/log4jattacksurface中的攻击案例截图,apple icloud、qq 邮箱、steam 商店、twitter、百度搜索等一系列国内外主流服务或平台均存在该漏洞。
好在,log4j 已经于 12 日 发布 2.15.0 版本 ,修复了漏洞,并且对于暂不能升级的旧版提供了临时应对方案。
受影响的大型平台也作出快速响应。10 日,minecraft 发布 1.18.1 版,说明已修复了漏洞;亚马逊发出 安全警告 称,「正积极监控该问题,并已在寻求解决方案」;ibm、red hat、甲骨文、vmware 等知名科技公司也宣称正在部署补丁;apple 尽管没有官方回应,但根据 11 日的测试,原本受到影响的 icloud 似乎也已经修复。此外,目前暂无因该漏洞导致重大安全事故的报道。
然而,由于该漏洞影响范围之广,受影响服务完成更新或修补仍需不少时间,因此近期内风险仍不可忽视。事实上,根据以色列安全公司 check point 的 监测 ,截至 12 月 12 日凌晨(太平洋时间),该公司已拦截到超过 40 万次针对该漏洞的攻击尝试,其中 45% 以上为已知恶意团体所发起。另根据 bleepingcomputer 的 报道 ,现已发现一些利用该漏洞安装挖矿脚本、组建僵尸网络和远程监控的案例。
个人云主机选择哪个好?(价格性能对比)
浅谈什么样的企业网站才能让用户更加喜欢
seo外链建设时易犯的错误是什么?
做sitemap是用xml还是txt好
网络营销之规则营销分析
如何策划一个营销型网站?
移动APP的9条设计原则
手机移动网站优化的三个核心要点
这个被报道得神乎其神的 log4shell 漏洞 所针对的,是一个极为常用的 java 库 log4j(详见后文说明)。值得一提,这个漏洞最初是由一名中国工程师、阿里云安全团队的 chen zhaojun 在 11 月下旬发现并提报的。
有记录的利用 log4shell 漏洞发起的攻击开始于 12 月 9 日,最初是针对微软的 minecraft 游戏 java 版。但人们很快发现 log4shell 的波及范围远不止于此。根据 github 仓库yfrytchsgd/log4jattacksurface中的攻击案例截图,apple icloud、qq 邮箱、steam 商店、twitter、百度搜索等一系列国内外主流服务或平台均存在该漏洞。
好在,log4j 已经于 12 日 发布 2.15.0 版本 ,修复了漏洞,并且对于暂不能升级的旧版提供了临时应对方案。
受影响的大型平台也作出快速响应。10 日,minecraft 发布 1.18.1 版,说明已修复了漏洞;亚马逊发出 安全警告 称,「正积极监控该问题,并已在寻求解决方案」;ibm、red hat、甲骨文、vmware 等知名科技公司也宣称正在部署补丁;apple 尽管没有官方回应,但根据 11 日的测试,原本受到影响的 icloud 似乎也已经修复。此外,目前暂无因该漏洞导致重大安全事故的报道。
然而,由于该漏洞影响范围之广,受影响服务完成更新或修补仍需不少时间,因此近期内风险仍不可忽视。事实上,根据以色列安全公司 check point 的 监测 ,截至 12 月 12 日凌晨(太平洋时间),该公司已拦截到超过 40 万次针对该漏洞的攻击尝试,其中 45% 以上为已知恶意团体所发起。另根据 bleepingcomputer 的 报道 ,现已发现一些利用该漏洞安装挖矿脚本、组建僵尸网络和远程监控的案例。
个人云主机选择哪个好?(价格性能对比)
浅谈什么样的企业网站才能让用户更加喜欢
seo外链建设时易犯的错误是什么?
做sitemap是用xml还是txt好
网络营销之规则营销分析
如何策划一个营销型网站?
移动APP的9条设计原则
手机移动网站优化的三个核心要点