行早 發自 凹非寺
量子位 報道 | 公眾號 QbitAI
幾乎影響整個網際網路
(Adobe、阿里、Amazon、GitHub、IBM、Intel、微軟、騰訊、百度等)
的Log4j漏洞的修補工作仍在繼續。
Apache團隊在發現2.16版本的問題後,又於釋出新的Log4j補丁2.17.0,這已經是Log4j大規模攻擊事件後第3個漏洞補丁了:
原因是在2.16.0版本中還存在漏洞,該漏洞CVSS評分為7.5(最高10分,分數越高漏洞越嚴重)。
2.16.0曾經修復了2.15.0中存在的兩個漏洞,Log4j在Lookup評估中不能完全防止無限遞迴。
也就是說,2.16.0版本的Log4j可能會受到DoS(拒絕服務)攻擊。
網友表示:這難道就是聖誕禮物?
不過拋開調侃不談,這已經是Apache第三次釋出Log4j漏洞補丁了,大家還是很感謝維護人員和極客們做這種出力不討好的工作,希望2.18版本中再無漏洞:
2.16.0中的漏洞
2.16版本的問題是由阿卡邁科技公司(Akamai Technologies)的首席高階業務經理Hideki Okamoto和一位匿名漏洞研究人員發現的。
當日志配置使用帶有Context Lookups的非預設模式佈局(例如:$${ctx:loginId})時,控制MDC(對映除錯上下文)輸入資料的攻擊者可以惡意輸入包含遞迴Lookup的資料,導致StackOverflowError。
也就是DoS攻擊。
針對這個漏洞Apache給出了三種緩解措施。
第一就是更新2.17.0補丁。
第二種方法是在日誌記錄配置的PatternLayout中,用Thread Context Map patterns(%X、%mdc 或 %MDC)替換 Context Lookups(${ctx:loginId} 或 $${ctx:loginId} 等)。
最後一種辦法就是在配置中,直接刪除對Context Lookups的引用。
不過,Apache解釋只有“log4j-core JAR”檔案受2.16版本中漏洞的影響。僅使用“log4j-api JAR”檔案而不使用“log4j-core JAR”檔案不會受到影響。
漏洞危機還要持續多久
谷歌Open Source Insights團隊成員釋出了一份安全報告,Maven中央庫中有8%以上的軟體包被影響,超過35000個artifacts依賴於Log4j,對生態系統影響巨大。
因為Log4j應用廣泛,只要有一個直接依賴項或間接依賴項出問題,就會影響整個包:
到目前為止,已經修復了近5000個artifacts,還有3萬多個受影響。(以更新到2.16.0版本或者完全刪除對Log4j依賴為修復標準)
雖然未修復的還有很大的一部分,但是仍然應該感謝來自全球各地的開源維護者、資訊保安團隊和消費者們對此做出的巨大努力。
參考連結:
[1]https://www.zdnet.com/article/apache-releases-new-2-17-0-patch-for-log4j-to-solve-denial-of-service-vulnerability/
[2]https://logging.apache.org/log4j/2.x/security.html
[3]https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html
—完—
本文系網易新聞•網易號特色內容激勵計劃簽約賬號【量子位】原創內容,未經賬號授權,禁止隨意轉載。
「智慧汽車」交流群招募中!
歡迎關注智慧汽車、自動駕駛的小夥伴們加入社群,與行業大咖交流、切磋,不錯過智慧汽車行業發展&技術進展。
ps.加好友請務必備註您的姓名-公司-職位哦~
點這裡?關注我,記得標星哦~
一鍵三連「分享」、「點贊」和「在看」
科技前沿進展日日相見~
