IT天空

 找回密码
 加入我们

手机号码,快捷登录

搜索

[新资讯] 核弹级漏洞席卷全球!程序员都懵了 修改iPhone名就可触发

[复制链接]
ShuoShuRen 发表于 2021-12-13 10:45:25 | 显示全部楼层 |阅读模式

IT天空 定制版高速U盘 128G | 固态U盘 256G Pro/512G Pro

  一时间,这个高危漏洞引发全球网络安全震荡!

  CVE-2021-44228,又名Log4Shell .

  新西兰计算机紧急响应中心(CERT)、美国国家安全局、德国电信CERT、中国国家互联网应急中心(CERT/CC)等多国机构相继发出警告。

S8a9e76e4-c3c1-4ce2-b834-91c8870b23c5.png


  已证实服务器易受到漏洞攻击的公司包括苹果、亚马逊、特斯拉、谷歌、百度、大企鹅、网易、京东、Twitter、 Steam等。据统计,共有6921个应用程序都有被攻击的风险,其中《我的世界》首轮即被波及。

  其危害程度之高,影响范围之大,以至于不少业内人士将其形容为"无处不在的零日漏洞".

  这究竟是怎么一回事?

  Java程序员都懵了

  这个漏洞最早是由阿里员工发现。11月24日,阿里云安全团队向Apache报告了Apache Log4j2远程代码执行(RCE)漏洞。12月9日,更多利用细节被公开。

S84bc71aa-bfb5-4913-ab4a-d1bacf4f9214.png


  Apache,是当前全球最流行的跨平台Web服务器之一。

  而作为当中的开源日志组件Apache Log4j2,被数百万基于Java的应用程序、网站和服务所使用。

  据报道,此次漏洞是由于Log4j2在处理程序日志记录时存在JNDI注入缺陷。

  (JNDI:Java命名和目录接口,是Java的一个目录服务应用程序接口,它提供一个目录系统,并将服务名称与对象关联起来,从而使得开发人员在开发过程中可以使用名称来访问对象。)

  攻击者可利用该漏洞,向目标服务器发送恶意数据,当服务器在将数据写入日志时,触发Log4j2组件解析缺陷,进而在未经授权的情况下,实现远程执行任意代码。

S4e1aeb10-d440-4d83-9ac0-3a43528ac91c.png


  以最先受到影响的《我的世界》为例,攻击者只需在游戏聊天中,发送一条带触发指令的消息,就可以对收到该消息的用户发起攻击。

  目前已经有网友证实,更改iPhone名称就可以触发漏洞。

Scb2d47c9-d98e-4bff-84b1-df0c818071b0.png


  还有网友试了试百度搜索框、火狐浏览器里输入带${的特殊格式请求,就能造成网页劫持。

  而像IT通信(互联网)、工业制造、金融、医疗卫生、运营商等各行各业都将受到波及,全球互联网大厂、游戏公司、电商平台等夜都有被影响的风险。

  其中甚至包括美国国家安全局的逆向工程工具GHIDRA.

  因此也就不奇怪,在9号当晚公开那天听说不少程序员半夜起来敲代码。

  网络监控Greynoise表示,攻击者正在积极寻找易受Log4Shell攻击的服务器,目前大约有100个不同的主机正在扫描互联网,寻找利用 Log4j 漏洞的方法。

  考虑到这个库无处不在、带来的影响以及触发难度较低,安全平台LunaSec将其称为Log4Shell漏洞,甚至警告说,任何使用Apache Struts的人都"可能容易受到攻击".

  不少网友对此惊叹于这史诗级别的漏洞,并担心恐要持续几个月甚至几年。

Sc8f632fe-79de-4df9-bfaf-94252ac1a550.png



  如何解决?

  2021年12月9日,Apache官方发布了紧急安全更新以修复该远程代码执行漏洞。但更新后的Apache Log4j 2.15.0-rc1 版本被发现仍存在漏洞绕过。

  12月10日凌晨2点,Apache再度紧急发布log4j-2.15.0-rc2版本。

S6ab8a98f-42bd-4cd6-8e01-3d5ac91a4813.png


  与此同时,国家互联网应急中心还给出了如下措施以进行漏洞防范。

  1)添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true;

  2)在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;

  3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;

  4)部署使用第三方防火墙产品进行安全防护。








原文链接:https://news.mydrivers.com/1/802/802262.htm
最近访问 头像模式 列表模式
aiyinsi_tan 发表于 2021-12-13 14:15:53 | 显示全部楼层

活跃 147| 技术 0| 互助 0| 钻石 10

Apache,是当前全球最流行的跨平台Web服务器之一。

而作为当中的开源日志组件Apache Log4j2,被数百万基于Java的应用程序、网站和服务所使用。

这部分应该有描述错误。apache指的不应该是apache httpd server,而是值得Apache Software Foundation。log4j2是其下一个开源组件。关系应该是apache是一个开源基金会,这个基金会有个开源http服务器叫apache httpd server,然后log4j2是另外一个开源软件(组件
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

ShuoShuRen

4495

活跃

0

技术

0

互助
签到任务
最火的业界新闻
  • Ryzen 7000今秋发布:业内首款5nm PC处理器
  • 华硕X670主板图曝光:采用双芯片设计
  • AMD RX 6300M亮机卡跑分首曝:竟不如锐龙AP
  • 消息称华为新款显示器“MateView SE”明天
  • 微信iOS 8.0.22支持群消息置顶 网友吐槽:
  • 大神曝料:AMD Zen4锐龙7000最高加速5.4GHz
  • 微软的Windows 11实体U盘安装介质印的是Win
  • AMD锐龙7000新座驾偷跑:X670主板确认双南
  • 小米总裁透露小米汽车进展:计划不变 正研
  • 小米一季度净利润腰斩 中国智能手机月销量
炫酷的硬件Show
  • MARK 1 - 设计型 PC 与垂直风道
  • 好的大王,没问题大王
  • 振华SUPER FLOWER 铜皇450W 铜牌电源
  • 比小更小,Mini-STX装机
  • 华擎X99E-ITX + 银欣ML06 装机记
  • 最强双路泰坦硬管水冷 制作流程
  • 银欣FT02,双路E5工作站
  • 迟到的定制机箱小钢炮清理灰尘
  • 乔思伯UMX1 Plus,小巧的家用综合主机
  • 分体水冷第二弹-Inwin 805 infinity
有趣的美图分享
  • 老兄 这水怎么越来越热呀
  • 没电都急哭了
  • 没毛病,但又觉得哪不对
  • 其实我也是可乐教的
  • 诡计多端的销售
  • 反客为主
  • 反重力楼梯
  • 这buff叠满了,可惜有个de的前缀
  • 8bit猫
  • 这猕猴桃真青椒
关注官方微信
快速回复 返回顶部 返回列表