Apache Log4j2引发严重安全漏洞,堪称“核弹级”漏洞!

访客1年前AI生活141

昨日夜间,Apache Log4j2引发严重安全漏洞,疑似很多公司的服务器被扫描攻击,一大批安全人员深夜修bug,堪称“核弹级”漏洞。

经专家研判,该漏洞影响范围极大,且利用方式十分简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器,90%以上基于java开发的应用平台都会受到影响。

log4j是Apache的一个开源项目, 是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。

据网友描述:“百度的主页搜索被黑了,所有Java同学起床修bug,影响很大”。

此次Log4j2 远程代码执行漏洞,已经被攻击者利用并公开扩散。触发条件:只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

有网友表示:“可以说是灾难性的漏洞,比之前的fastjson和shiro还要严重,这个漏洞估计在之后三四年内还会继续存在”。

如果被攻击,影响的范围堪比2017年“永恒之蓝”病毒,当年的WannaCry勒索病毒,致使美国、英国、俄罗斯、中国等至少150个国家,30万名用户中招。

小编从奇安信集团了解到,根据安域云防护的监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为。奇安信应急响应中心已接到十余起重要单位的漏洞应急响应需求,已于12月9日晚间将漏洞信息上报了相关主管部门。补天漏洞响应平台负责人介绍,12月9日深夜,仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。

安全专家还表示,开源软件安全治理是一项任重道远的工作,需要国家、行业、用户、软件厂商都重视起来并投入才能达到良好效果。

天才黑客、前拼多多安全大牛Flanker也在微博中表示:”漏洞严重,建议排查所有系统依赖升级到log4j-2.15.0-rc1。业务系统可能没有直接引用,但是旁路的日志、大数据等Java体系生态中基本上都有,仍然会被打。”

紧急! Log4j漏洞风险,堪比“永恒之蓝”或将影响70%以上企业

据小编了解,2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。

昨日,阿里云应急响应中心提醒用户尽快采取安全措施阻止漏洞攻击,并表示:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

有些厂家给出排查方式,用户只需排查Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用,极大可能会受到影响。

目前似乎尚无统一解决办法,有业内人士称正在等待官方修复补丁,保险起见选择版本回滚。纵观当前讨论态势,预计漏洞影响还在继续发酵当中。

本站部分文章来自互联网,文章版权归原作者所有。如有疑问请联系QQ:362580117!

相关文章

3D视觉传感器市占率71.09%,奥比中光领跑中国服务机器人视觉感知赛道

3D视觉传感器市占率71.09%,奥比中光领跑中国服务机器人视觉感知赛道

机器视觉产业链自下而上的国产化替代已经开始提速。 7月14日,高工机器人产业研究所(GGII)重磅发布奥比中光参编的《2023机器视觉产业发...

中国大力推动数字货币,数字货币的发展对我国经济发展有何意义?

中国大力推动数字货币,数字货币的发展对我国经济发展有何意义?

金融技术的兴起推动了金融的数字化和智能化发展,货币形式也在不断发展。随着信息网络通信技术的飞速发展,电子支付已迅速普及,法定数字货币...

未来十年微软和特斯拉将是科技行业真正的“颠覆者”!

未来十年微软和特斯拉将是科技行业真正的“颠覆者”!

微软的公有云和特斯拉的电动轿车将在未来十年关于整个科技职业来说都是推翻者,他们有很大的或许性创始一个新的年代。 腾讯科技讯 据...

蚂蚁发布SOFAStack5.0升级版本,助金融机构产研效率提升30%

蚂蚁发布SOFAStack5.0升级版本,助金融机构产研效率提升30%

不久前的外滩大会上,蚂蚁集团发布了代码大模型CodeFuse,而如今该大模型已经开始与蚂蚁多个产品进行了融合应用。 11月1日,在云栖大会上,...

XR行业的“先锋派”,如何变革空间计算?

XR行业的“先锋派”,如何变革空间计算?

本周四,Meta在其Meta Connect上发布了新一代独立头显设备Meta Quest3,以及新一代智能眼镜Ray-Ban Meta,再...

阿里云与中兴通讯达成合作,携手共建国产PolarDB开源数据库社区

阿里云与中兴通讯达成合作,携手共建国产PolarDB开源数据库社区

5月16日消息,阿里云与中兴通讯联合宣布达成开源数据库合作,中兴通讯宣布加入PolarDB开源社区,并当选为首届理事会成员单位,未来双方将基于...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。