Java 库 Log4j 中臭名昭著的漏洞的影响持续存在。 尽管紧急补丁 2.16 解决了最大的问题,但这个版本似乎也容易被滥用。 安全研究人员发现了拒绝服务 (DoS) 攻击的入口。 Log4j 2.17 已发布关闭条目。
Java 库的开发者 Apache 建议组织应用紧急补丁。 自从图书馆被发现易受攻击以来,该建议第三次适用。
一周半前,阿里巴巴的安全研究人员 cloud 安全团队揭示了一种使用 Log4j 滥用应用程序的方法。 Log4j 在应用程序中用于记录事件。 事实证明,可以通过执行恶意软件的指令从外部访问带有库的应用程序。 虐待只需要一点时间。 再加上图书馆在大多数企业环境中的估计发生率,您就会了解全球 IT 环境面临的灾难规模。
Fortinet、Cisco、IBM 和其他数十家软件开发人员在他们的软件中使用该库。 他们的开发人员在 11 月 2.15 日的周末加班加点处理漏洞的第一个紧急补丁并将其交付给用户组织。 预计这些组织内的 IT 团队也会出现完全相同的偏差。 全球范围内发生了数十万次攻击企图。 每个人都必须尽快切换到 2.15——直到 XNUMX 也被发现存在漏洞。
库的某些配置在 2.15 版中仍然是可能的。 使用这些配置使漏洞永久存在。 2.16 版使配置变得不可能,保证了新的补丁。 通常会让已经过度劳累的 IT 团队感到懊恼。 然而,它总是可能更糟,因为 2.16 也有一个小毛病。
返回开始
全球对这个问题的广泛关注引发了大规模的全球调查。 该库的开发人员 Apache 似乎在两天没有一家安全公司指出一个新的紧迫问题的情况下喘不过气来。
简而言之,事实证明可以用一行(字符串)运行数十个版本的 log4j(包括 2.16)来启动导致应用程序崩溃的永恒循环。 为了被滥用,环境必须满足的条件是广泛的。 如此广泛,以至于问题的实际严重性存在争议。 该补丁是官方推荐的,但并非所有人都信服。
同样,并非每个 Log4j 实例都易受攻击,但只有库在自定义设置上运行的情况下才易受攻击。 潜在的攻击者还需要详细了解 Log4j 的工作原理。 与最初的、易于访问的漏洞形成对比。