阿帕奇Apache Log4j曝高危漏洞,已發現近萬次攻擊
近日,被全球廣泛應用的組件Apache Log4j被曝出一個已存在在野利用的高危漏洞,攻擊者僅需一段代碼就可遠程控制受害者服務器。幾乎所有行業都受到該漏洞影響,包括全球多家知名科技公司、電商網站等,漏洞波及面和危害程度均堪比 2017年的“永恒之藍”漏洞。
近期一個 Apache Log4j 遠程代碼執行漏洞細節被公開,攻擊者利用漏洞可以遠程執行代碼。
目前Apache Log4j 2.15.0 正式版已發布,安全漏洞 CVE-2021-44228 已得到解決。
根據Apache 軟件基金會Logging Services的 PMC 成員Volkan Yaz?c? 的說法,本次的漏洞來自于一個舊功能,但為了保持向后兼容性,就沒有移除。
Apache Log4j2 是一款優秀的 Java 日志框架。該工具重寫了 Log4j 框架,并且引入了大量豐富的特性。該日志框架被大量用于業務系統開發,用來記錄日志信息。大多數情況下,開發者可能會將用戶輸入導致的錯誤信息寫入日志中。
IT之家獲悉,由于 Apache Log4j2 某些功能存在遞歸解析功能,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞。
安域云防護的監測數據顯示,截至12月10日中午12點,已發現近1萬次利用該漏洞的攻擊行為。據了解,該漏洞影響范圍大,利用方式簡單,攻擊者僅需向目標輸入一段代碼,不需要用戶執行任何多余操作即可觸發該漏洞,使攻擊者可以遠程控制受害者服務器,90%以上基于java開發的應用平臺都會受到影響。
“Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注,不僅在于其易于利用,更在于它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件,它所帶來的危害就像多米諾骨牌一樣,影響深遠。”奇安信安全專家對貝殼財經記者表示。
目前,奇安信應急響應中心已接到十余起重要單位的漏洞應急響應需求。奇安信已于12月9日晚間將漏洞信息上報了相關主管部門。補天漏洞響應平臺負責人介紹,12月9日深夜,僅一小時內就收到白帽黑客提交的百余條該漏洞的信息。
“我們首先需要做的是梳理自身產品中所使用的軟件資產,檢測其中是否使用了開源組件、影響哪些資產、影響程度如何,判斷受影響資產應修復到哪個版本,其他關聯組件是否受影響等,最后著手修復和防御后續類似攻擊。”奇安信安全專家說。
推薦站點
戶戶通衛星直播中心
戶戶通,國家新聞出版廣電總局廣播電視衛星直播管理中心,廣播電視衛星直播管理中心,衛星直播管理中心,衛星直播中心。 國家廣播電視總局廣播電視衛星直播管理中心(簡稱:衛星直播中心)成立于2011年10月,是經中央編辦批準設立的總局直屬事業單位。主要負責衛星直播節目平臺的建設、播出、運行、管理;組織開展衛星直播廣播電視公共服務工作;服務管理衛星直播廣播電視用戶,受理用戶反饋意見和投訴;推進衛星直播廣播電視新技術新業態創新融合發展;制訂衛星直播技術發展規劃,跟蹤研究相關新技術,組織技術開發和應用研究;承辦總局交辦的其他事項。
www.huhutv.com.cnopenAI
OpenAI 的知名度在今年 1 月初還僅限于科技圈內,但伴隨著 ChatGPT 的全球火爆,OpenAI 進入公眾視野。OpenAI 自推出 ChatGPT 預覽版之后,網站訪問量快速攀升,目前已躋身全球 TOP50 網站。 OpenAI 網站在去年 11 月的全月訪問量為 1830 萬,主要訪問人群是技術社區。而在今年 1 月份,該網站的訪問量突破了 6.72 億,增長了 3572%。 OpenAI is an AI research and deployment company. Our mission is to ensure that artificial general intelligence benefits all of humanity.
openai.com互聯網檔案館
互聯網檔案館(網址web.archive.org),是一個公益項目,專門收集互聯網上的各種信息,例如視頻、音頻、網頁等等并存儲在他家的服務器中。 互聯網檔案館(英語:Internet Archive)是美國的一個由Alexa創始人布魯斯特·卡利創辦于1996年的非營利性的、提供互聯網多媒體資料文件閱覽服務的數字圖書館,總部位于加利福尼亞州舊金山的列治文區,其使命是“普及所有知識”(英語:universal access to all knowledge.)[注 1][注 2]。該“檔案館”提供的數字資料有如網站、網頁、圖形材料音樂、視頻、音頻、軟件、動態圖像和數百萬書籍等的永久性免費儲存及獲取的副本。 迄至2012年10月,其信息儲量達到10PB(即10,240TB)[5][6]。除此之外,該檔案館也是網絡開放與自由化的倡議者之一。 ——摘自維基百科 其中值得關注的就是他們的網頁備份項目。這個項目已經做到了對于非常多的網頁,對于每一個版本都留下了歷史記錄。即通過這個項目可以訪問大多數網頁的任意時間節點的版本,即使這個網站本身已經關停. 為了將這個由字符組成的文明盡可能地保存下來,美國的一家名為互聯網檔案館(Internet Archive)的非營利性數字圖書館,收集了大量的網頁、視頻、音頻、軟件和電子書。 互聯網檔案館從 1996 年起利用網絡爬蟲抓取了大量網頁并存檔,至今已經超過 3510 億個網頁,其稱為「時光機」(Wayback Machine)項目。 「時光機」的頁面非常簡潔,只有一個輸入欄和搜索按鈕,有點像 Google 等搜索引擎。在輸入欄輸入你想「回到過去」的網站,選擇想要穿越日期,就能查看當天被保存下來的網頁截圖。
web.archive.org阿里研究院
阿里研究院成立于2007年,是國內互聯網企業中第一家內設研究智庫。過去12年,阿里研究院見證、參與和推動了電子商務、數字經濟的發展,已成為在國內外數字經濟和數字治理研究領域具有廣泛影響力的企業智庫。 阿里研究院秉承開放、分享、透明、責任的互聯網精神,扎根阿里巴巴數字經濟體豐富的商業生態,依托海量的數據和案例,洞察新知、共創未來,引領著數字經濟和數字治理研究。
www.aliresearch.com全歷史
全歷史(Allhistory)以AI知識圖譜為核心引擎,通過高度時空化、關聯化數據的方式構造及展現數字人文內容,尤其是歷史知識。讓用戶沉浸在縱橫開闊、左圖右史的(歷史、人文、社科等)知識海洋中。
www.allhistory.com易搜-網盤搜索
易搜(網站)一個在線網盤資源搜索網站,界面清爽干凈而且完全免費,一鍵聚合四大網盤資源搜索,非常給力! 易搜(yiso.fun),一個在線網盤資源搜索網站,一次搞定四大平臺!直接在輸入框里輸入關鍵詞即可開始檢索,可以選擇特定的搜索線路,或者直接搜索四大網盤資源。
yiso.fun軟倉
軟倉是一個集合專業軟件的導航網站,免費下載供學習使用,本站承諾無毒無廣告,純公益項目,不以此盈利. 軟倉是一款免費的設計軟件分享網站,收錄的都是設計軟件,已收錄 385 個專業軟件,包括 Adobe 系列、AutoCAD、平面設計、三維設計、影視動畫、建筑設計、機械設計、電子電路。 軟件都是學習版,基本更新到了最新版本,提供了百度網盤下載鏈接,直接點擊即可獲取保存或下載。 開發者承諾網站永遠免費下載,永遠保持網站面貌干凈整潔,純公益項目,不以此盈利為建站目的,全憑興趣愛好。
www.ruancang.netToonMe動漫頭像
ToonMe是一款可以在線將頭像照片轉換成超逼真的卡通風格樣式的應用。進入網頁無需注冊登錄就能在線使用,轉換完成后提供免費下載。同時也有手機APP可以下載。ToonMe可謂動漫頭像生成網站的王者之一。 Let our AI cartoonize your photos
toonme.com樊登讀書
樊登讀書,上海黃豆網絡科技有限公司品牌。樊登讀書是由前中央電視臺節目主持人、MBA資深講師樊登博士于2013年發起,同年10月正式成立。2018年“樊登讀書會”正式更名為“樊登讀書”。樊登讀書軟件為用戶提供書籍精華解讀、精品課程、學習社群等知識服務。 2019年4月23日,樊登讀書開啟了“知識進化論——423世界讀書日樊登主題演講”,拉開了大型品牌線下活動的序幕.
www.dushu365.com