-
中国程序员,发现“近年来最大计算机漏洞”
-
赵挪亚没有感情的写稿机器
最后更新: 2021-12-12 17:15:43(观察者网 讯)据美联社12月11日报道,中国阿里云安全团队在Web服务器软件阿帕奇(Apache)下的开源日志组件Log4j内,发现一个漏洞Log4Shell。这一漏洞的存在,可以让网络攻击者无需密码就能访问网络服务器。
网络安全专家认为,这一漏洞潜在危害极大,甚至可能是“计算机历史上最大的漏洞”。包括苹果、三星以及Steam在内的云服务都可能受到影响。阿帕奇软件基金会已将这一漏洞的严重性列为最高。
阿里云团队12月10日发布的最新预警
事件起始于上月24日,中国阿里云团队的一名成员向阿帕奇披露了这一漏洞。随后,奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行了预警。
新西兰方面称,该漏洞正在被“积极利用”,并且概念验证代码也已被发布。
这次曝光的漏洞,存在于Java日志框架的Log4j,被广泛应用于各种应用程序和网络服务,是一种程序内的纪录工具,保存执行活动的过程,方便在出现问题时进行检查。几乎每个网络安全系统都会利用某种日志框架进行纪录,这也使得Log4j影响广泛。
网络安全管理公司Cloudflare首席安全官乔·沙利文(Joe Sullivan)表示,这一漏洞允许恶意攻击者“远程执行代码”,以获取对其他系统的访问,鉴于Log4j软件被广泛使用,这可能是迄今为止“最大的漏洞”。
到了本月10日,警报进一步扩大。当天,微软旗下游戏《我的世界》(Minecraft)发布公告称,游戏的Java版容易受到攻击,并建议用户立即采取措施解决安全问题。玩家可以通过在游戏聊天框中粘贴信息的方式,在其他玩家的电脑上执行程序。
同一天,沙利文称公司在“过去6到10小时内”发现,使用这一漏洞的恶意用户激增。
数据安全平台LunaSec的研究人员发现,有证据表明Steam、以及苹果的云服务受到了影响,而帕洛阿尔托网络公司(Palo Alto Network)在一篇博文中指出,推特和亚马逊也受到了攻击。
专家们严正警告了本次漏洞的潜在危害性。
网络安全公司Crowdstrike高级副主席迈耶斯(Adam Meyers)表示,在美国时间10日早上,黑客已经将漏洞“完全武器化”,还开发出利用该漏洞工具向外分发。他形容称“互联网当下正冒火”,不法分子和黑客正争先恐后地利用这个漏洞,而各大机构网络安全人员则争分夺秒地努力修补。
另一家网络安全公司Tenable的首席执行官阿米特·约兰(Amit Yoran)称,Log4Shell是“过去十年内最大也是最关键的单一漏洞”,甚至可能是“现代计算机历史上最大的漏洞”。
美联社则评论称,这一漏洞可能是近年来发现的最严重的计算机漏洞。Log4j在全行业和政府使用的云服务器和企业软件中“无处不在”。除非被修复,否则犯罪分子、间谍乃至编程新手,都可以轻易使用这一漏洞进入内部网络,窃取信息、植入恶意软件和删除关键信息等。
阿帕奇软件基金基金会,已经将这一漏洞的严重性列为10级中的最高。
国外社交媒体用户以表情包的形式,说明Log4j的重要性
目前,各大公司已经开始着手修复这一漏洞。根据世界最大网络安全公司迈卡菲(McAfee)的说法, 最重要和最完整的缓解方法,是将log4j更新到稳定版本2.15.0。
未来,迈卡菲还计划使用额外的服务如(DNS)来测试该漏洞的变化。我们可能会根据结果相应地更新本文档。同时,迈卡菲企业已经为利用NSP(网络安全平台)的客户发布了一个网络签名KB95088,该签名可检测攻击者利用漏洞的企图。
12月10日,阿里云安全团队发布公告称,发现阿帕奇Log4j 2.15.0-rc1版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 正式版本。
本文系观察者网独家稿件,未经授权,不得转载。
- 责任编辑: 赵挪亚 
-
拜登对普京撂下“狠话”
2021-12-12 16:57 乌克兰之殇 -
准备竞选总统却“两头不讨好”,彭斯尴尬了
2021-12-12 16:34 美国政治 -
中纪委:美国在全球借“民主”“反腐”之名行霸权之实
2021-12-12 16:25 美国一梦 -
G7外长开会呼吁“团结”应对乌克兰局势,美媒:有点难
2021-12-12 15:14 欧洲乱局 -
美国CIA“为难”:急求懂中文的人,但又担心…
2021-12-12 15:03 中美关系 -
中国大使精辟总结:“三无”峰会
2021-12-12 14:59 美国一梦 -
“支持率60%的时候我还关注,现在40%我就不看了”
2021-12-12 13:39 美国政治 -
美国搅黄中企项目半年后,拉日澳“补缺”
2021-12-12 13:25 -
这张照片一曝光,约翰逊“信誉已到崩溃边缘”
2021-12-12 10:18 不列颠 -
特朗普38页“政变PPT”曝光,又扯上了中国
2021-12-12 10:06 特朗普 -
30多场龙卷风横扫美国六州,至少84死
2021-12-12 10:03 极端天气 -
美式十字军:用“民主”新瓶代替了“上帝”老梗
2021-12-12 08:34 美国一梦 -
阿根廷发生10年来最严重石油泄漏事故,大面积土地被污染
2021-12-12 08:26 -
美国新增确诊86063例、死亡772例
2021-12-12 07:38 新冠肺炎抗疫战 -
30场龙卷风席卷美国六大州,至少80人死亡
2021-12-11 23:14 美国一梦 -
不跟风美国,法国又要被“羞辱”?
2021-12-11 20:40 法国见闻 -
纽约警方:今年反亚裔仇恨犯罪飙升361%
2021-12-11 20:11 美国一梦 -
日媒:日本或不派高级官员出席北京冬奥会
2021-12-11 18:38 北京冬奥会 -
美国人“吃肉自由”越来越难实现,白宫找到“罪魁祸首”
2021-12-11 15:29 美国经济 -
要不要任命“对华强硬”外长?捷克总统、总理陷入宪法之争
2021-12-11 15:07 欧洲乱局
相关推荐 -
-
美方对俄隐瞒了部分信息?克宫回应 评论 30国防部表态:中方不会在南海问题上任菲胡来 评论 161关于ASML出口管制,荷兰首相在华表态 评论 463警惕!“隐秘”的调查暗藏国家安全风险 评论 127最新闻 Hot
-
银河系中心超大质量黑洞,又一张偏振图像来了
-
竟还有这样给他们洗白的:“善良有爱心”、“胆小不敢杀鸡”…
-
“港独分子”作证:他勾结外国反华政客!
-
这个数据,孟买首次超越北京
-
浙大社会学系第3次更新:赵鼎新再度“荣休”
-
美国务院一官员辞职:自焚军人最后的留言让我难以忘怀
-
日本资助的项目被搁置,斯里兰卡:中国承诺帮我们
-
关于ASML出口管制,荷兰首相在华表态
-
耶伦:我要当面“警告”中国,你们东西太便宜,搞得美国企业破产
-
警惕!“隐秘”的调查暗藏国家安全风险
-
普京反问:我们跨越大洋跑到美国边境了吗?
-
“美国暴露了”
-
“为何总觉得你们的生活方式比我们好?甚至连提问方式都…”
-
中企被迫退出竞标,“欧盟借这招威慑外企”
-
他威胁“不停火就断交”,以色列怒了
-
美媒“拆台”:哪有火车?你咋坐的?
-