Apache log4j 漏洞,非常嚴重 世紀大漏洞

2021122115:11

Apache Log4j  漏洞編號  CVE-2021-44228
命名「 Log4Shell」
風險等級 10 分 (最嚴重的 10分)
 

最白話的方式解釋 log4j 漏洞:

從監視攝影機理解 Log4j 跟 Log4Shell 漏洞 (cymetrics.io)

 

那些軟體有 log4j 漏洞

幾乎有名有姓的網路公司、軟體公司都有此問題
如麥塊minecraft、Apple iCloud 、Microsoft、Google
這裡有整理的列表
BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-20 2238 UTC · GitHub
Tech Solvency: The Story So Far: CVE-2021-44228 (Log4Shell log4j vulnerability).  

連火星上的機智號直升機都有此漏洞 : NASA探索火星的機智號可能也被Log4Shell漏洞影響 | iThome

 

如何檢測自己的系統有無 log4j 漏洞?

這兩個程式可以檢測:
GitHub - cisagov/log4j-scanner: 
log4j-scanner is a project derived from other members of the open-source community by CISA to help organizations identify potentially vulnerable web services affected by the log4j vulnerabilities.

 
其它
Apache Log4j再釋出2.17版,修補DoS漏洞 | iThome
周末IT人員可能忙著升級Log4j到2.16版,不過他們至少還需要再忙一趟,
因為Apache軟體基金會又釋出了Log4j 2.17.0版來修補新的阻斷服務(Denial of Service,DoS)漏洞。

【資安警訊】 Apache Log4j日誌框架系統重大漏洞(CVE-2021-44228),已出現攻擊行動,需儘速採取緩解措施 | iThome

2021/12/23
率先向 Apache 通報 Log4j 漏洞 阿里雲被工信部指未及時匯報罰停合作關係 6 個月 | 立場報道 | 立場新聞 (thestandnews.com)
Log4j 事件於 11 月 24 日揭發,阿里雲一名隸屬安全團隊的員工 Chen Zhaojun (筆名) 向專門支援開源(open source)軟件專案的 Apache 基金會發了一封電郵:「我要匯報一個安全漏洞,這漏洞可導致嚴重後果。」他之後在電郵闡釋黑客可以怎樣利用 Log4j 的漏洞,遙控遭入侵的電腦,使之成為殭屍網絡,或竊取用戶資料。
Apache 旗下一群志願程式員立即投入修復工作,希望在外界未得知這世紀漏洞前研究出補救措施。12 月 8 日,他們再次收到 Chen Zhaojun 的電郵,又是一次噩耗:「部分 WeChat (微信)安全聊天群組已在討論這個漏洞的細節,一些安全人員已發現漏洞。我們答允在你們未發布官方修復方案前保密事件,請快點。」
重點在這裡-->大陸於今年 7 月發布《網絡產品安全漏洞管理規定》,當中第7條指出,網絡產品提供者在發現安全漏洞後,要在 2 日內向工信報匯報。第 9 條提到「不得將未公開的網絡產品安全漏洞信息向網絡產品提供者之外的境外組織织或者個人提供。」