資安專家發現廣為使用的 Log4j Java 程式庫,內含嚴重的 -0-day 資安漏洞,可導致遠端執行任意程式碼;由於此程式庫的使用率高,專家指出恐將造成嚴重的資安危機。
資安專家近日發現廣為使用的 Log4j Java 程式庫,內含嚴重的 -0-day 資安漏洞 ,可能導致駭侵者用於發動攻擊,遠端執行任意程式碼;由於此程式庫的使用率極高,專家指出恐將造成嚴重的資安危機。
這個 0-day 漏洞的 CVE 編號為 CVE-2021-44228,命名為「Log4Shell」或是「LogJam」;任何系統若執行 Log4j 2.0-beta9 到 2.14.1 之間的版本,都有可能遭到駭侵者遠端執行任意程式碼,而且無須通過任何登入驗證程序。
這個 Log4j 0-day 漏洞的 CVSS 危險程度評分高達滿分 10 分。
該漏洞是由阿里雲的資安研究團隊發現,並在第一時間通報開發出 Log4j Java 程式庫的 Apache 基金會;但在資安研究專家於 Github 上公布針對此一漏洞開發出的駭侵概念證實(Proof of Concept)程式碼後,資安廠商馬上就觀測到有駭侵者開始掃瞄 Internet 上可能存有此漏洞的主機;現在更有駭侵者開始利用此一漏洞,發動大規模的惡意軟體植入攻擊。
由於 Log4j Java 程式庫的使用範圍極廣,因此專家預期可能對許多仍採用 Java 的各種網路服務業者造成極大的資安危機,被點名的業者包括 Apple、Amazon、Cloudflare、Twitter、Steam、Minecraft、百度、騰訊、滴滴、京東、網易、Tesla、Google、VMware、UniFi、Webex、LinkedIn 等大型網路服務業者。
Log4j 的開發者 Apache Foundation 已經緊急推出 Log4j 2.15.0 版本,解決了 CVE-2021-44228 的漏洞;任何使用本程式庫的單位,均應立即更新到最新版本,以對應已有駭侵團體大規模利用此漏洞發動攻擊的資安風險。
- CVE編號:CVE-2021-44228
- 影響產品(版本):Log4j 2.0-beta9 到 2.14.1 之間的版本
- 解決方案:更新 Log4j 2.15.0 版本
- 參考連結
CVE-2021-44228 Detail
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Apache Log4j 2 CVE-2021-44228
https://www.docker.com/blog/apache-log4j-2-cve-2021-44228/
Hackers start pushing malware in worldwide Log4Shell attacks
New zero-day exploit for Log4j Java library is an enterprise nightmare
Apache Log4j 2
留言列表
資安宣導 (2)
