Java 庫 Log4j 中臭名昭著的漏洞的影響持續存在。 儘管最大的問題已通過緊急補丁 2.16 解決,但該版本似乎也容易被濫用。 安全研究人員發現了拒絕服務 (DoS) 攻擊的入口。 Log4j 2.17 已發布以關閉該條目。
Java 庫的開發者 Apache 建議組織應用緊急補丁。 自發現該圖書館存在漏洞以來,該建議已第三次適用。
一周半前,阿里巴巴的安全研究人員 cloud 安全團隊揭示了一種利用 Log4j 濫用應用程序的方法。 Log4j 在應用程序中用於記錄事件。 事實證明,可以通過執行惡意軟件的指令從外部訪問該庫的應用程序。 虐待只需要一瞬間的時間。 再加上大多數企業環境中圖書館的預計發生情況,您就會了解全球 IT 環境面臨的災難的規模。
Fortinet、Cisco、IBM 和其他數十家軟件開發商在他們的軟件中使用該庫。 他們的開發人員在 11 月 2.15 日週末加班處理該漏洞的第一個緊急補丁並將其交付給用戶組織。 這些組織內的 IT 團隊預計也會出現完全相同的變化。 全球範圍內發生了數十萬次攻擊企圖。 大家不得不盡快切換到2.15——直到XNUMX也被發現存在漏洞。
在 2.15 版本中,庫的某些配置仍然是可能的。 使用這些配置使該漏洞永久存在。 2.16 版本使配置變得不可能,保證了新的補丁。 這常常讓已經超負荷工作的 IT 團隊感到懊惱。 然而,情況總是會更糟,因為2.16也有一個小毛病。
返回開始
全球對這一問題的廣泛關注引發了全球範圍內的大規模調查。 如果沒有安全公司指出一個新的緊迫問題,該庫的開發者 Apache 似乎已經連續兩天喘不過氣來了。
簡而言之,事實證明,可以用一行(字符串)運行數十個版本的 log4j(包括 2.16)來啟動導致應用程序崩潰的永恆循環。 環境必須滿足多種條件才能被濫用。 如此廣泛以至於問題的實際嚴重性存在爭議。 該補丁是官方推薦的,但並不是所有人都相信。
同樣,並非 Log4j 的每個實例都容易受到攻擊,只有庫在自定義設置上運行的情況才會受到攻擊。 潛在的攻擊者還需要詳細了解 Log4j 的工作原理。 與最初的、易於訪問的漏洞形成鮮明對比。