推薦:花了2萬(wàn)多買(mǎi)的Java架構(gòu)師課程全套更舞,現(xiàn)在分享給大家畦幢,從軟件安裝到底層源碼(Java高級(jí)互聯(lián)網(wǎng)架構(gòu)師VIP教程)
一時(shí)間,這個(gè)高危漏洞引發(fā)全球網(wǎng)絡(luò)安全震蕩缆蝉!
CVE-2021-44228宇葱,又名Log4Shell。
新西蘭計(jì)算機(jī)緊急響應(yīng)中心(CERT)刊头、美國(guó)國(guó)家安全局黍瞧、德國(guó)電信CERT、中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CERT/CC)等多國(guó)機(jī)構(gòu)相繼發(fā)出警告原杂。
已證實(shí)服務(wù)器易受到漏洞攻擊的公司包括蘋(píng)果印颤、亞馬遜、特斯拉穿肄、谷歌年局、百度、騰訊咸产、網(wǎng)易矢否、京東、Twitter脑溢、 Steam等僵朗。據(jù)統(tǒng)計(jì),共有6921個(gè)應(yīng)用程序都有被攻擊的風(fēng)險(xiǎn),其中《我的世界》首輪即被波及衣迷。
其危害程度之高,影響范圍之大酱酬,以至于不少業(yè)內(nèi)人士將其形容為“無(wú)處不在的零日漏洞”壶谒。
這究竟是怎么一回事克锣?
Java程序員都懵了
這個(gè)漏洞最早是由阿里員工發(fā)現(xiàn)翅萤。11月24日,阿里云安全團(tuán)隊(duì)向Apache報(bào)告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行(RCE)漏洞摧莽。12月9日挑社,更多利用細(xì)節(jié)被公開(kāi)陨界。
Apache,是當(dāng)前全球最流行的跨平臺(tái)Web服務(wù)器之一痛阻。
而作為當(dāng)中的開(kāi)源日志組件Apache Log4j2菌瘪,被數(shù)百萬(wàn)基于Java的應(yīng)用程序、網(wǎng)站和服務(wù)所使用阱当。
據(jù)報(bào)道俏扩,此次漏洞是由于Log4j2在處理程序日志記錄時(shí)存在JNDI注入缺陷。
(JNDI:Java命名和目錄接口弊添,是Java的一個(gè)目錄服務(wù)應(yīng)用程序接口录淡,它提供一個(gè)目錄系統(tǒng),并將服務(wù)名稱(chēng)與對(duì)象關(guān)聯(lián)起來(lái)油坝,從而使得開(kāi)發(fā)人員在開(kāi)發(fā)過(guò)程中可以使用名稱(chēng)來(lái)訪問(wèn)對(duì)象嫉戚。)
攻擊者可利用該漏洞,向目標(biāo)服務(wù)器發(fā)送惡意數(shù)據(jù)澈圈,當(dāng)服務(wù)器在將數(shù)據(jù)寫(xiě)入日志時(shí)彬檀,觸發(fā)Log4j2組件解析缺陷,進(jìn)而在未經(jīng)授權(quán)的情況下瞬女,實(shí)現(xiàn)遠(yuǎn)程執(zhí)行任意代碼凤覆。
以最先受到影響的《我的世界》為例,攻擊者只需在游戲聊天中拆魏,發(fā)送一條帶觸發(fā)指令的消息盯桦,就可以對(duì)收到該消息的用戶(hù)發(fā)起攻擊。
目前已經(jīng)有網(wǎng)友證實(shí)渤刃,更改iPhone名稱(chēng)就可以觸發(fā)漏洞拥峦。
還有網(wǎng)友試了試百度搜索框、火狐瀏覽器里輸入帶${的特殊格式請(qǐng)求卖子,就能造成網(wǎng)頁(yè)劫持略号。
而像IT通信(互聯(lián)網(wǎng))、工業(yè)制造、金融玄柠、醫(yī)療衛(wèi)生突梦、運(yùn)營(yíng)商等各行各業(yè)都將受到波及,全球互聯(lián)網(wǎng)大廠羽利、游戲公司宫患、電商平臺(tái)等夜都有被影響的風(fēng)險(xiǎn)。
其中甚至包括美國(guó)國(guó)家安全局的逆向工程工具GHIDRA这弧。
因此也就不奇怪娃闲,在9號(hào)當(dāng)晚公開(kāi)那天聽(tīng)說(shuō)不少程序員半夜起來(lái)敲代碼。
網(wǎng)絡(luò)監(jiān)控Greynoise表示匾浪,攻擊者正在積極尋找易受Log4Shell攻擊的服務(wù)器皇帮,目前大約有100個(gè)不同的主機(jī)正在掃描互聯(lián)網(wǎng),尋找利用 Log4j 漏洞的方法蛋辈。
考慮到這個(gè)庫(kù)無(wú)處不在属拾、帶來(lái)的影響以及觸發(fā)難度較低,安全平臺(tái)LunaSec將其稱(chēng)為L(zhǎng)og4Shell漏洞冷溶,甚至警告說(shuō)捌年,任何使用Apache Struts的人都“可能容易受到攻擊”。
不少網(wǎng)友對(duì)此驚嘆于這史詩(shī)級(jí)別的漏洞挂洛,并擔(dān)心恐要持續(xù)幾個(gè)月甚至幾年礼预。
如何解決?
2021年12月9日虏劲,Apache官方發(fā)布了緊急安全更新以修復(fù)該遠(yuǎn)程代碼執(zhí)行漏洞托酸。但更新后的Apache Log4j 2.15.0-rc1 版本被發(fā)現(xiàn)仍存在漏洞繞過(guò)。
12月10日凌晨2點(diǎn)柒巫,Apache再度緊急發(fā)布log4j-2.15.0-rc2版本励堡。
與此同時(shí),國(guó)家互聯(lián)網(wǎng)應(yīng)急中心還給出了如下措施以進(jìn)行漏洞防范堡掏。
1)添加jvm啟動(dòng)參數(shù)-Dlog4j2.formatMsgNoLookups=true应结;
2)在應(yīng)用classpath下添加log4j2.component.properties配置文件,文件內(nèi)容為log4j2.formatMsgNoLookups=true泉唁;
3)JDK使用11.0.1鹅龄、8u191、7u201亭畜、6u211及以上的高版本扮休;
4)部署使用第三方防火墻產(chǎn)品進(jìn)行安全防護(hù)。
