百科问答小站 logo
百科问答小站 font logo



今天发布的Apache Log4j2漏洞,对于非IT界的人来说有什么危害呢 ? 第1页

  

user avatar   ama-huangama 网友的相关建议: 
      

昨天晚上一个 Apache Log4j2 的高危漏洞被公开了,这个远程代码执行漏洞堪称史诗级别的漏洞。

Apache Log4j2 这个组件有多少公司在用,这个不用我多说吧,实在是太多了。不知道昨晚有多少程序员半夜起床改代码呢?

漏洞原理官方表述是:Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词 ${,攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令,并且执行。

漏洞检测方案

1、通过流量监测设备监控是否有相关 DNSLog 域名的请求

2、通过监测相关日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。

漏洞修复方案

Apache 官方已经发布了测试补丁,中招的用户赶紧升级最新的安全版本吧,

补丁下载:Release log4j-2.15.0-rc1 · apache/logging-log4j2

至于对非IT界人士来说,危害:暂时性看不出来,看出来的一般也被扼杀在摇篮里,你要相信安全工程师和运维工程师的能力,不然,你也得相信服务器备份镜像的能力,别总是杞人忧天,工程师已经在瑟瑟发抖修复漏洞中,最惨的还是他们。




  

相关话题

  12 月 20 日西安一码通崩溃,西安建议市民非必要不展码、亮码,一码通故障的影响有多大? 
  如何看待中国阿里云安全团队在Web服务器软件Apache下的开源日志组件Log4j内发现的巨大漏洞? 
  马斯克称 Web3「不是真实的,更像是营销术语」,Web3 到底是什么?是未来的趋势吗? 
  如果log4j2漏洞拿到defcon ctf或black hat大会上算是什么水平的0day? 
  阿里文娱转让优酷信息技术 100% 股份,土豆网接盘,这意味着什么? 
  在中国,有多少程序员干到40了?那么其他人去干什么了? 
  信息熵与热力学统计物理中的熵有什么区别和联系? 
  如何看待奥巴马呼吁每个美国人都学习编程? 
  如何评价甲骨文(ORACLE)中国区裁员? 
  技术牛人流动性大,应该如何管理才能降低离职率? 

前一个讨论
为什么上海在承担全国大部分境外输入的情况下,还有人不承认上海防疫工作的优秀之处?
下一个讨论
日本汽车为什么能够崛起?





© 2024-11-09 - tinynew.org. All Rights Reserved.
© 2024-11-09 - tinynew.org. 保留所有权利