日志框架 Apache Log4j 出现严重漏洞，影响范围广泛 iCloud、Steam、Minecraft 等服务

该漏洞影响Apache Log4j 2.0到2.14.1版本，但有报道称1.x版本也存在同样的漏洞，并且该漏洞的PoC验证码已经流出，相信会被利用 很快被黑客攻击。

尽管Apache在前天发布了2.15.0-rc1来修补漏洞，但安全专家很快就找到了绕过补丁的方法。 今天早上，Apache 通过 GitHub 发布了 2.15.0-rc2 以进行进一步的修补。 阿里云安全团队早在11月24日就宣布发现该漏洞，虽然Apache前天发布了2.15.0-rc1补丁，但安全专家很快就找到了绕过补丁的方法。 今天早上，Apache 通过 GitHub 发布了 2.15.0-rc2 以进行进一步的修补。

有利用此漏洞的报告。 黑客只要在 Minecraft 的文本行中留下特制的恶意信息并记录在服务器日志中，就可以远程执行任意代码。 著名的 Minecraft “Spigot”服务端已经关闭了一些服务器以修复漏洞。

苹果 iCloud、Steam 和 Minecraft 服务器均已确认存在此漏洞。 有安全专家指出，即使不直接使用Log4j，其实很多系统都是以Dependency的方式使用这个日志框架的，所以影响范围其实非常广泛。 由于修复系统中所有Log4j漏洞的工作量巨大，相信很多企业都会选择放手，这已经成为很多企业系统的隐患。

本文来自投稿，不代表本站立场，如若转载，请注明出处：https://www.idc.moe/archives/apache-log4j-zero-day-vulnerablity.html