按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Log4j Java 程式庫的嚴重 0-day 漏洞,恐將造成極大資安危機

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-05-10
  • 點閱次數:6799
Log4j Java 程式庫的嚴重 0-day 漏洞,恐將造成極大資安危機 TWCERT/CC

資安專家發現廣為使用的 Log4j Java 程式庫,內含嚴重的 -0-day 資安漏洞,可導致遠端執行任意程式碼;由於此程式庫的使用率高,專家指出恐將造成嚴重的資安危機。

資安專家近日發現廣為使用的 Log4j Java 程式庫,內含嚴重的 -0-day 資安漏洞 ,可能導致駭侵者用於發動攻擊,遠端執行任意程式碼;由於此程式庫的使用率極高,專家指出恐將造成嚴重的資安危機。

這個 0-day 漏洞的 CVE 編號為 CVE-2021-44228,命名為「Log4Shell」或是「LogJam」;任何系統若執行 Log4j 2.0-beta9 到 2.14.1 之間的版本,都有可能遭到駭侵者遠端執行任意程式碼,而且無須通過任何登入驗證程序。

這個 Log4j 0-day 漏洞的 CVSS 危險程度評分高達滿分 10 分。

該漏洞是由阿里雲的資安研究團隊發現,並在第一時間通報開發出 Log4j Java 程式庫的 Apache 基金會;但在資安研究專家於 Github 上公布針對此一漏洞開發出的駭侵概念證實(Proof of Concept)程式碼後,資安廠商馬上就觀測到有駭侵者開始掃瞄 Internet 上可能存有此漏洞的主機;現在更有駭侵者開始利用此一漏洞,發動大規模的惡意軟體植入攻擊。

由於 Log4j Java 程式庫的使用範圍極廣,因此專家預期可能對許多仍採用 Java 的各種網路服務業者造成極大的資安危機,被點名的業者包括 Apple、Amazon、Cloudflare、Twitter、Steam、Minecraft、百度、騰訊、滴滴、京東、網易、Tesla、Google、VMware、UniFi、Webex、LinkedIn 等大型網路服務業者。

Log4j 的開發者 Apache Foundation 已釋出修補版本解決 CVE-2021-44228 的漏洞;任何使用本程式庫的單位,均應立即更新到最新版本,以對應已有駭侵團體大規模利用此漏洞發動攻擊的資安風險。

  • CVE編號:CVE-2021-44228
  • 影響產品(版本):Log4j 2.0-beta9 到 2.14.1 之間的版本
  • 解決方案:Java 6請更新至Log4j 2.3.1、Java 7請更新至Log4j 2.12.3、  Java 8 及更高版本請更新至Log4j 2.17.0
  • 緩解措施: 在 2.16.0 以外的任何版本中,您可以JndiLookup從類路徑中刪除該類:zip -q -d  [log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class]
回頁首