按 Enter 到主內容區
:::

TWCERT-電子報

:::

Log4j Java 程式庫的嚴重 0-day 漏洞,恐將造成極大資安危機

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-12-13
  • 點閱次數:45
Log4j Java 程式庫的嚴重 0-day 漏洞,恐將造成極大資安危機 TWCERT/CC

CVE編號

CVE-2021-44228

內文

資安專家發現廣為使用的 Log4j Java 程式庫,內含嚴重的 -0-day 資安漏洞,可導致遠端執行任意程式碼;由於此程式庫的使用率高,專家指出恐將造成嚴重的資安危機。

資安專家近日發現廣為使用的 Log4j Java 程式庫,內含嚴重的 -0-day 資安漏洞 ,可能導致駭侵者用於發動攻擊,遠端執行任意程式碼;由於此程式庫的使用率極高,專家指出恐將造成嚴重的資安危機。

這個 0-day 漏洞的 CVE 編號為 CVE-2021-44228,命名為「Log4Shell」或是「LogJam」;任何系統若執行 Log4j 2.0-beta9 到 2.14.1 之間的版本,都有可能遭到駭侵者遠端執行任意程式碼,而且無須通過任何登入驗證程序。

這個 Log4j 0-day 漏洞的 CVSS 危險程度評分高達滿分 10 分。

該漏洞是由阿里雲的資安研究團隊發現,並在第一時間通報開發出 Log4j Java 程式庫的 Apache 基金會;但在資安研究專家於 Github 上公布針對此一漏洞開發出的駭侵概念證實(Proof of Concept)程式碼後,資安廠商馬上就觀測到有駭侵者開始掃瞄 Internet 上可能存有此漏洞的主機;現在更有駭侵者開始利用此一漏洞,發動大規模的惡意軟體植入攻擊。

由於 Log4j Java 程式庫的使用範圍極廣,因此專家預期可能對許多仍採用 Java 的各種網路服務業者造成極大的資安危機,被點名的業者包括 Apple、Amazon、Cloudflare、Twitter、Steam、Minecraft、百度、騰訊、滴滴、京東、網易、Tesla、Google、VMware、UniFi、Webex、LinkedIn 等大型網路服務業者。

Log4j 的開發者 Apache Foundation 已經緊急推出 Log4j 2.15.0 版本,解決了 CVE-2021-44228 的漏洞;任何使用本程式庫的單位,均應立即更新到最新版本,以對應已有駭侵團體大規模利用此漏洞發動攻擊的資安風險。

影響產品

Log4j 2.0-beta9 到 2.14.1 之間的版本

解決辦法

更新 Log4j 2.15.0 版本
回頁首