当然,您已经在社交网络上阅读或看到了一些东西。 日志4j 它本身不是漏洞,而是Apache软件基金会用Java开发的开源库的名称(也有用其他语言编写的,如Ruby、C、C++、Python等) . 多亏了它,软件开发人员可以在运行时实现不同重要性级别的事务日志消息。
La 漏洞 CVE-2021-44228 最近发布的影响 Apache Log4j 2.x。 该漏洞被称为 Log4Shell 或 LogJam,于 9 月 XNUMX 日被一名自称自称的网络安全工程师发现 p0rz9 联网。 这位专家还发表了一篇 Github上的存储库 关于这个安全漏洞。
Log4j 的这个漏洞允许利用对 LDAP 的错误输入验证,允许 远程代码执行 (RCE),并损害服务器(机密性、数据完整性和系统可用性)。 此外,此漏洞的问题或重要性在于使用它的应用程序和服务器的数量,包括商业软件和云服务如 Apple iCloud、Steam,或流行的视频游戏如 Minecraft: Java Edition、Twitter、Cloudflare、腾讯、ElasticSearch、Redis、Elastic Logstash 等。
鉴于 操作方便 以及使用它的关键系统,许多网络犯罪分子可能会利用它来传播他们的勒索软件。 当其他人试图提出解决方案时,例如 Nextron Systems 的 Florian Roth,他分享了一些 雅拉规则 检测利用 Log4j 漏洞的企图。
Apache Foundation 也迅速修复了它,发布了针对该漏洞的补丁。 因此,至关重要 您现在更新到 Log4j 版本 2.15.0 的重要性.,如果您有受影响的服务器或系统。 有关如何执行此操作的更多信息,您可以访问此 下载链接 并提供有关它的信息。