Log4j 缺陷需要立即修复

时间:2021-12-24 14:56:15来源:
导读 在采用由 和混合工作带来的主要网络和安全变化近两年后,疲惫不堪的 IT 网络和安全团队不需要处理另一个大问题,但他们有一个:防止最

在采用由 和混合工作带来的主要网络和安全变化近两年后,疲惫不堪的 IT 网络和安全团队不需要处理另一个大问题,但他们有一个:防止最近披露的潜在损害开源 Java 日志记录 Apache Log4j 软件中的漏洞。

Log4j 或 Log4Shell 已经存在很长时间了——它于 2001 年 1 月发布——并广泛用于各种企业和消费者服务、网站和应用程序。专家将该系统描述为一种易于使用的通用实用程序,以支持客户端/服务器应用程序开发。

Linux 安全性:Cmd 提供对用户活动的可见性和控制

Log4j 漏洞在国家漏洞数据库的CVE-2021-44228和CVE-2021-45046中定义,基本上允许未经身份验证的远程参与者控制受影响的服务器系统并获得公司信息的访问权限或发动拒绝服务攻击。

专家表示,该问题有一个补救措施,因此组织应立即升级到Log4j 版本 2.17.0以防止这两种 CVE。

尽管如此,该漏洞的影响可能是广泛的,因为它已经存在了很长时间并且因为 Log4j 被如此广泛地使用。据Check Point 称,Log4j 库嵌入在几乎所有互联网服务和应用程序中,包括 Twitter、亚马逊和微软。

VMware网络安全战略负责人Tom Kellermann 表示:“Log4j 蠕虫可能会损坏关键基础设施,这已经是一个国家安全威胁。”“正如我们所说,坏民族国家的行为者已经在利用它。”

例如,Check Point 表示,截至 12 月 16 日,它已经看到超过 280 万次尝试利用该漏洞,其中超过 46% 是由已知的恶意组织发起的。全球网络,”Check Point表示。

标签:
最新文章