苹果、Twitter、Steam、特斯拉以及甲骨文等企业的服务器尽皆面临风险
来源 | TheNextWeb
作者丨Ivan Mehta
编译 | 科技行者
本文经过更新,包含关于最新Log4j版本发布、新的漏洞利用向量以及与所有Java版本相关的风险细节。
就在广大赛车爱好者们观看维斯塔潘与汉密尔顿的F1冠军争夺战时,广大互联网企业正被一起突发事件吓得魂不附体。
普通用户们可能没有注意到,因为Twitter、Facebook、Gmail乃至其他我们日常使用的服务并未因此陷入宕机。但就在近日,Log4j开源技术中的一个bug在全球信息安全社区中引发恐慌。
该bug已经影响到数十亿台设备,相关企业也在争先恐后地安装修复程序;而开源社区这边已经意识到一个更深层次的问题——从哪里找钱来养活支持Log4j这类开源项目的志愿者们。
在深入讨论这么多复杂议题之前,我们先简要了解一下Log4j技术与安全问题的背景。
Log4j是什么?
Log4j 2是一套基于Java的开源日志记录框架,属于任何人都能免费使用的Apache Foundation服务之一。众多企业都在使用这款日志记录软件跟踪自己服务器(甚至是客户端应用程序)上的各类活动。
例如,在我们访问网站时,这款记录器就会注册下我们的IP地址、浏览器及所访问的页面。利用这些与活动密切相关的数据,企业就能解决他们服务中出现的任何问题。
因为Log4j库基于Java,所以该框架支持的数十亿台设备都可能因其安全漏洞而身陷风险。
Log4j到底有什么bug?
上周被编目为CVE-2021-44228的这一漏洞允许攻击者通过特制字符串远程执行代码。由于Log4j普及度极高,网络犯罪分子可以轻松操作日志字符串、进而控制目标服务器或客户端。
之所以存在此项bug,主要原因是Log4j的某些版本允许通过目录查找协议(LDAP协议)执行任意文本。
各位非技术人员请注意,此番 #log4j问题正令整个互联网陷入危机。而引起这一切的关键,正是一段简单的“$ Valsorda (@FiloSottile) 2021年12月10日
![华为、戴尔服务器电源都在用的数字隔离芯片,你还不来看看[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)