12/29資訊更新 Log4j再傳RCE漏洞,Apache釋出2.17.1新版
12/20資訊更新 Apache Log4j再釋出2.17版,修補DoS漏洞
12/16資訊更新 Log4j 2.15.0修補不全、Apache再釋2.16.0新版,國家駭客已開始行動
Apache Log4j漏洞已經影響地表上多數知名網站,甚至也可能影響到火星上。因為美國太空總署(NASA)用以探索火星的機智號(Ingenuity)直升機也使用了這項軟體。
The Register報導,今年6月Apache基金會宣布機智號直升機使用了Log4j。不過這則推文現已被刪除。
但在本月初機智號出任務時卻發生問題。機智號與地面探勘車毅力號(Perseverance)在12月5日的第17次火星探勘任務中,機智號飛行結束前資料傳輸發生不預期中斷。毅力號負責提供機智號與地球控制中心的通訊基地臺,以便將機智號收到的火星影像傳回給地球。透過毅力號隨後傳回的資料,NASA指出機智號系統正常,但是提供的資訊太少,使NASA無法宣布任務圓滿成功。
機智號事件和Log4j 2漏洞是否有關不得而知。
所幸機智號健康情況良好。本月初這架直升機在火星以每秒5公尺的速度,離火星表面12公尺處飛行3,592公尺,全程歷時30分鐘48秒。
上周Apache公布的Log4j 2 RCE漏洞(又稱Log4Shell)影響Amazon、Google Cloud、微軟、遊戲平臺Steam及推特等網路服務及眾多軟體。安全廠商已經偵測到該漏洞有駭客試圖掃瞄不幸的受害者,以植入殭屍網路程式、勒索軟體、挖礦軟體、木馬程式等,並且已有國家支持的駭客組織開始行動。
微軟證實由第三方廠商代管的Minecraft平臺,已經遭人開採感染勒索軟體Khonsari。
安全廠商並發現上周的Log4j 2.15.0版修補不全,而且還有至少1個以上的新漏洞可引發阻斷服務(Denial of Service,DoS)攻擊及資訊外洩。新漏洞被列為CVE-2021-45046。資安廠商呼籲企業用戶應立刻升級到周一釋出的2.16.0版。
熱門新聞
2024-12-08
2024-12-10
2024-12-10
2024-12-10
2024-11-29
2024-12-10