2022-10-04 分類: 網(wǎng)站建設(shè)
就在我們了解到國(guó)家支持的黑客已經(jīng)開(kāi)始研究上周震驚網(wǎng)絡(luò)安全界的Log4j漏洞問(wèn)題時(shí),其他研究人員發(fā)出了一個(gè)令人不安的發(fā)展信號(hào)。Log4j黑客,也被稱為L(zhǎng)og4Shell已經(jīng)有一個(gè)補(bǔ)丁,已經(jīng)可以部署到企業(yè)。但事實(shí)證明,這個(gè)補(bǔ)丁玩起了“套娃”:它解決原有問(wèn)題的同時(shí)又產(chǎn)生新的安全問(wèn)題,且可以被外部利用。因此,希望保護(hù)他們的系統(tǒng)免受Log4j攻擊的公司必須部署一個(gè)新的補(bǔ)丁,修復(fù)之前的補(bǔ)丁。
正如我們?cè)谝郧暗膱?bào)道中所解釋的,Log4j黑客是非常危險(xiǎn)的。這是因?yàn)樗鼛缀跤绊懙剿刑峁┗ヂ?lián)網(wǎng)服務(wù)的公司。這個(gè)安全漏洞存在于一個(gè)被廣泛使用的Java日志工具中。自上周四披露以來(lái),網(wǎng)絡(luò)安全研究人員已經(jīng)目睹了數(shù)十萬(wàn)次利用該漏洞的嘗試。這包括來(lái)自國(guó)家支持的黑客的攻擊,與大多數(shù)黑客相比,他們擁有大量可支配的資源。只要互聯(lián)網(wǎng)公司不對(duì)他們的系統(tǒng)應(yīng)用現(xiàn)有的Log4j補(bǔ)丁,他們就會(huì)面臨風(fēng)險(xiǎn)。
黑客可以利用Log4j黑客技術(shù),在沒(méi)有密碼的情況下進(jìn)入計(jì)算機(jī)服務(wù)器。從那里,他們可以安裝其他惡意程序。這些工具將讓他們竊取信息,進(jìn)行勒索軟件攻擊,或挖掘加密貨幣。根據(jù)最初描述安全問(wèn)題的報(bào)告,有人利用了《Minecraft》里面的漏洞。微軟很快給Minecraft打了補(bǔ)丁,并不斷發(fā)布關(guān)于Log4j漏洞在外部世界的安全更新。
普通的終端用戶無(wú)法自己修復(fù)Log4j黑客的問(wèn)題。這并不像將操作系統(tǒng)或應(yīng)用程序更新到最新、最安全的版本那樣容易。是互聯(lián)網(wǎng)公司必須部署最新的Log4j補(bǔ)丁來(lái)保護(hù)服務(wù)器。
但安全研究人員已經(jīng)發(fā)現(xiàn),Apache基金會(huì)上周發(fā)布的Log4j 2.15.0補(bǔ)丁至少有兩個(gè)需要修復(fù)的漏洞。報(bào)告說(shuō),已經(jīng)安裝了Log4j 2.15.0的企業(yè)應(yīng)該盡快安裝2.16.0版本。
根據(jù)一些研究人員的說(shuō)法,Log4j 2.15.0的補(bǔ)丁"在某些非默認(rèn)配置中"并不完整。反過(guò)來(lái),這使得攻擊者可以對(duì)打了補(bǔ)丁的系統(tǒng)發(fā)動(dòng)攻擊。來(lái)自Praetorian的安全研究人員也詳細(xì)介紹了新的安全問(wèn)題,他們解釋說(shuō),黑客仍然可以從已經(jīng)部署了Log4j 2.15.0補(bǔ)丁的服務(wù)器上竊取數(shù)據(jù)。
"在我們的研究中,我們已經(jīng)證明2.15.0在某些情況下仍然可以實(shí)現(xiàn)敏感數(shù)據(jù)的滲出,"研究人員說(shuō)。"我們已經(jīng)把這個(gè)問(wèn)題的技術(shù)細(xì)節(jié)傳遞給了Apache基金會(huì),但在這期間,我們強(qiáng)烈建議客戶盡快升級(jí)到2.16.0。"
Praetorian發(fā)布了對(duì)Log4j 2.15.0補(bǔ)丁的概念證明攻擊,但沒(méi)有披露使其成為可能的技術(shù)細(xì)節(jié)。
了解更多:https://github.com/cckuailong/Log4j_CVE-2021-45046
標(biāo)題名稱:禁止套娃:新發(fā)布的Log4j補(bǔ)丁被發(fā)現(xiàn)又包含一個(gè)可利用的漏洞
網(wǎng)站路徑:http://m.rwnh.cn/news24/201524.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制網(wǎng)站、營(yíng)銷型網(wǎng)站建設(shè)、網(wǎng)站維護(hù)、自適應(yīng)網(wǎng)站、網(wǎng)頁(yè)設(shè)計(jì)公司、電子商務(wù)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容