蘋果、Twitter、Steam、特斯拉以及甲骨文等企業的伺服器盡皆面臨風險
來源 | TheNextWeb
作者丨Ivan Mehta
編譯 | 科技行者
本文經過更新,包含關于最新Log4j版本釋出、新的漏洞利用向量以及與所有Java版本相關的風險細節。
就在廣大賽車愛好者們觀看維斯塔潘與漢密爾頓的F1冠軍争奪戰時,廣大網際網路企業正被一起突發事件吓得魂不附體。
普通使用者們可能沒有注意到,因為Twitter、Facebook、Gmail乃至其他我們日常使用的服務并未是以陷入當機。但就在近日,Log4j開源技術中的一個bug在全球資訊安全社群中引發恐慌。
該bug已經影響到數十億台裝置,相關企業也在争先恐後地安裝修複程式;而開源社群這邊已經意識到一個更深層次的問題——從哪裡找錢來養活支援Log4j這類開源項目的志願者們。
在深入讨論這麼多複雜議題之前,我們先簡要了解一下Log4j技術與安全問題的背景。
Log4j是什麼?
Log4j 2是一套基于Java的開源日志記錄架構,屬于任何人都能免費使用的Apache Foundation服務之一。衆多企業都在使用這款日志記錄軟體跟蹤自己伺服器(甚至是用戶端應用程式)上的各類活動。
例如,在我們通路網站時,這款記錄器就會注冊下我們的IP位址、浏覽器及所通路的頁面。利用這些與活動密切相關的資料,企業就能解決他們服務中出現的任何問題。
因為Log4j庫基于Java,是以該架構支援的數十億台裝置都可能因其安全漏洞而身陷風險。
Log4j到底有什麼bug?
上周被編目為CVE-2021-44228的這一漏洞允許攻擊者通過特制字元串遠端執行代碼。由于Log4j普及度極高,網絡犯罪分子可以輕松記錄檔字元串、進而控制目标伺服器或用戶端。
之是以存在此項bug,主要原因是Log4j的某些版本允許通過目錄查找協定(LDAP協定)執行任意文本。
各位非技術人員請注意,此番 #log4j問題正令整個網際網路陷入危機。而引起這一切的關鍵,正是一段簡單的“$ Valsorda (@FiloSottile) 2021年12月10日
![全球13台根伺服器,中國沒有一台,一旦斷網中國網絡會癱瘓嗎?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)