乌鸦观察
15.5K subscribers
7.28K photos
320 videos
491 files
16.6K links
不定期推送新闻和杂谈;您的订阅、投稿和转发是对我们最大的支持;

有任何事宜欢迎通过 @big_crow_bot 联系,因我们知识精力有限,期盼各位多多指正;

整理不易,转发请自觉标记出处;

推荐使用浅色模式阅读,深色模式加粗重点显示不明显;

同义词检索欢迎使用:https://t.me/bigcrowdev/11487

无穷的远方,无数的人们,都和我们有关,向收到此信息的世界致以美好的祝愿。
——地狱乌鸦
Download Telegram
#漏洞 #Log4j2 #Log4j

【广泛使用的日志框架Log4j2 存在远程代码执行漏洞,影响大量组件】

12月9日深夜,据腾讯云、阿里云等云厂商消息,Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方还没有正式发布安全公告及版本,漏洞被利用可导致服务器被入侵等危害。

据介绍,Apache Log4j 2是一个开源的日志记录组件,使用非常的广泛。在工程中以易用方便代替了 System.out 等打印语句,它是JAVA下最流行的日志输入工具。

这一漏洞是在使用 Log4j 2 在一定场景条件下处理恶意数据时,可能会造成注入类代码执行。

由于Log4j2 作为日志记录基础第三方库,被大量Java框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量通用应用及组件,例如 :Flink、Kafka、ElasticSearch、Redis等等等。。。

影响的版本有:Apache log4j2 >= 2.0, <= 2.14.1

目前,官方已修复,但暂未发布正式漏洞补丁及修复版本,请密切关注官方最新版本发布,并关注服务器的异常行为。用户可排查Java应用是否引入 log4j-api , log4j-core 两个jar包,如有使用可考虑使用如下官方临时补丁进行修复。

也可以通过使用禁止联网、设置参数等方式进行临时缓解。(阿里云)(腾讯云)
乌鸦观察
#漏洞 #Log4j2 #Log4j 【广泛使用的日志框架Log4j2 存在远程代码执行漏洞,影响大量组件】 12月9日深夜,据腾讯云、阿里云等云厂商消息,‌Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方还没有正式发布安全公告及版本,漏洞被利用可导致服务器被入侵等危害。 据介绍,Apache Log4j 2是一个开源的日志记录组件,使用非常的广泛。在工程中以易用方便代替了 System.out 等打印语句,它是JAVA下最流行的日志输入工具。 这一漏洞是在使用 Log4j 2…
#漏洞 #Log4j2 #Log4j #开源 #捐赠 #基建

【只有三个人赞助 Log4j 维护者】

在 OpenSSL 项目曝出 Heartbleed 高危漏洞前,人们并不知道许多关键基础组件虽然人人用但却无人维护。在 Java 日志框架 Log4j 本周末曝出高危漏洞后,又一个广泛使用但几乎没人维护的开源项目暴露在人们面前。

Log4j 维护者称他有全职软件开发工作,只能在空闲时间维护该项目,他也想全职维护开源项目,但在这之前 只有三个人(现在人数增加了)赞助 Log4j。使用 Log4j 项目的知名企业包括苹果和微软。

有人主张,如果一家企业使用了一个开源项目但不想自己维护一个版本,那么它有道德上的责任赞助和支持项目的维护者。(Solidot)