香蕉在线视频网站,国产视频综合,亚洲综合五月天欧美,成人亚洲综合,日本欧美高清全视频,国产视频黄色,欧美高清在线播放

"史上最大漏洞"，被中國(guó)程序員發(fā)現(xiàn) 原創(chuàng) 趙挪亞 觀察者網(wǎng)
? 文 觀察者網(wǎng) 趙挪亞
據(jù)美聯(lián)社12月11日?qǐng)?bào)道，中國(guó)阿里云安全團(tuán)隊(duì)在Web服務(wù)器軟件阿帕奇（Apache）下的開源日志組件Log4j內(nèi)，發(fā)現(xiàn)一個(gè)漏洞Log4Shell。這一漏洞的存在，可以讓網(wǎng)絡(luò)攻擊者無(wú)需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。網(wǎng)絡(luò)安全專家認(rèn)為，這一漏洞潛在危害極大，甚至可能是“計(jì)算機(jī)歷史上最大的漏洞”。包括蘋果、三星以及Steam在內(nèi)的云服務(wù)都可能受到影響。阿帕奇軟件基金會(huì)已將這一漏洞的嚴(yán)重性列為最高。阿里云團(tuán)隊(duì)12月10日發(fā)布的最新預(yù)警
事件起始于上月24日，中國(guó)阿里云團(tuán)隊(duì)的一名成員向阿帕奇披露了這一漏洞。隨后，奧地利和新西蘭官方的計(jì)算機(jī)應(yīng)急小組率先對(duì)這一漏洞進(jìn)行了預(yù)警。
新西蘭方面稱，該漏洞正在被“積極利用”，并且概念驗(yàn)證代碼也已被發(fā)布。
這次曝光的漏洞，存在于Java日志框架的Log4j，被廣泛應(yīng)用于各種應(yīng)用程序和網(wǎng)絡(luò)服務(wù)，是一種程序內(nèi)的紀(jì)錄工具，保存執(zhí)行活動(dòng)的過程，方便在出現(xiàn)問題時(shí)進(jìn)行檢查。幾乎每個(gè)網(wǎng)絡(luò)安全系統(tǒng)都會(huì)利用某種日志框架進(jìn)行紀(jì)錄，這也使得Log4j影響廣泛。
網(wǎng)絡(luò)安全管理公司Cloudflare首席安全官喬·沙利文（Joe Sullivan）表示，這一漏洞允許惡意攻擊者“遠(yuǎn)程執(zhí)行代碼”，以獲取對(duì)其他系統(tǒng)的訪問，鑒于Log4j軟件被廣泛使用，這可能是迄今為止“最大的漏洞”。
到了本月10日，警報(bào)進(jìn)一步擴(kuò)大。當(dāng)天，微軟旗下游戲《我的世界》（Minecraft）發(fā)布公告稱，游戲的Java版容易受到攻擊，并建議用戶立即采取措施解決安全問題。玩家可以通過在游戲聊天框中粘貼信息的方式，在其他玩家的電腦上執(zhí)行程序。同一天，沙利文稱公司在“過去6到10小時(shí)內(nèi)”發(fā)現(xiàn)，使用這一漏洞的惡意用戶激增。
數(shù)據(jù)安全平臺(tái)LunaSec的研究人員發(fā)現(xiàn)，有證據(jù)表明Steam、以及蘋果的云服務(wù)受到了影響，而帕洛阿爾托網(wǎng)絡(luò)公司（Palo Alto Network）在一篇博文中指出，推特和亞馬遜也受到了攻擊。
專家們嚴(yán)正警告了本次漏洞的潛在危害性。
網(wǎng)絡(luò)安全公司Crowdstrike高級(jí)副主席邁耶斯（Adam Meyers）表示，在美國(guó)時(shí)間10日早上，黑客已經(jīng)將漏洞“完全武器化”，還開發(fā)出利用該漏洞工具向外分發(fā)。他形容稱“互聯(lián)網(wǎng)當(dāng)下正冒火”，不法分子和黑客正爭(zhēng)先恐后地利用這個(gè)漏洞，而各大機(jī)構(gòu)網(wǎng)絡(luò)安全人員則爭(zhēng)分奪秒地努力修補(bǔ)。
另一家網(wǎng)絡(luò)安全公司Tenable的首席執(zhí)行官阿米特·約蘭（Amit Yoran）稱，Log4Shell是“過去十年內(nèi)最大也是最關(guān)鍵的單一漏洞”，甚至可能是“現(xiàn)代計(jì)算機(jī)歷史上最大的漏洞”。
美聯(lián)社則評(píng)論稱，這一漏洞可能是近年來(lái)發(fā)現(xiàn)的最嚴(yán)重的計(jì)算機(jī)漏洞。Log4j在全行業(yè)和政府使用的云服務(wù)器和企業(yè)軟件中“無(wú)處不在”。除非被修復(fù)，否則犯罪分子、間諜乃至編程信守，都可以輕易使用這一漏洞進(jìn)入內(nèi)部網(wǎng)絡(luò)，竊取信息、植入惡意軟件和刪除關(guān)鍵信息等。
阿帕奇軟件基金基金會(huì)，已經(jīng)將這一漏洞的嚴(yán)重性列為10級(jí)中的最高。國(guó)外社交媒體用戶以表情包的形式，說明Log4j的重要性
目前，各大公司已經(jīng)開始著手修復(fù)這一漏洞。根據(jù)世界最大網(wǎng)絡(luò)安全公司邁卡菲（McAfee）的說法， 最重要和最完整的緩解方法，是將log4j更新到穩(wěn)定版本2.15.0。
未來(lái)，邁卡菲還計(jì)劃使用額外的服務(wù)如（DNS）來(lái)測(cè)試該漏洞的變化。我們可能會(huì)根據(jù)結(jié)果相應(yīng)地更新本文檔。同時(shí)，邁卡菲企業(yè)已經(jīng)為利用NSP（網(wǎng)絡(luò)安全平臺(tái)）的客戶發(fā)布了一個(gè)網(wǎng)絡(luò)簽名KB95088，該簽名可檢測(cè)攻擊者利用漏洞的企圖。
12月10日，阿里云安全團(tuán)隊(duì)發(fā)布公告稱，發(fā)現(xiàn)阿帕奇Log4j 2.15.0-rc1版本存在漏洞繞過，請(qǐng)及時(shí)更新至 Apache Log4j 2.15.0 正式版本。