Log四Shell
Log 四 Shell指 Log 四 j 二孵空 ( Log 四 J 二 ) 的一个零日遠逝代碼執行空隙,公共漏洞佮暴露編號(CVE)為 CVE 鋪二千空二十一孵四四千兩百二十八。予人定性做「過去十年來上蓋大、上關鍵的空」
事件經過
阿里巴集團佇二空二一年十一月二四發現並且報告予 Apache,伊並且十二月初九佇推文中發布了一个牽涉著 Log 四 j 二中遠逝代碼執行的零日漏洞,是咧講符仔「Log 四 Shell」,受影響的服務包括 Cloudflare、iCloud、我的世界:Java 版、Steam、騰訊 QQ 佮推特。Apache 軟體基金會分配矣上大 CVSS Log 四 Shell 的嚴重等級為十,因為數百萬台侍服器可能就較會受著該空隙的攻擊。網路安全公司 Tenable 共這个空描寫做是「過去十冬來上大、上關鍵的空」,Lunasec 的 Free Wortley 共伊描述講「災難性的設計失敗」。
佇美國,網路安全佮基礎設施安全局主任 Jen Easterly 稱該無空利用「至關要」,閣建議供應商優先考慮軟體更新,佮德國機構聯邦信息安全辦公室 ( BSI ) 共這个空指定做佇最高威脅級別,稱其為「極其嚴重的威脅狀況」。 加拿大網路安全中心呼籲各組織隨採取行動。
會當通過配置設置禁用致使空隙的功能,該設置已經佇咧 Log 四 j 版本二嬸一五 . 零-rc 一(二空二一年十二月初六正式發布,漏洞發布前三工)中刪除,並替換做各種設置限制遠程查揣,自按呢減輕漏洞。為著提懸安全性,這空隙所以基於所有的使用 JNDI 的功能共認禁用,並且對版本二四界一六 . 零開始刪除對消息查揣的支持。
官方的 Minecraft:Java 版啟動器已經修補這空。使用自定義啟動器抑是自定義 Java 版本可能會意味著客戶捀猶未拍補丁。佇咧無修補這空縫的侍服器頂頭耍遊戲將允准侍服器頂頭的任何耍佇咧另外一个客戶捀的計算機頂頭執行藏佇的惡意代碼。佇一鋪一八 . 一以上的版本上耍單人遊戲抑是濟人遊戲共防止遮漏洞。低於一人七的版本無受著影響。就是遊戲侍服器主機運行的是 Minecraft 一孵七石一一八版本,著愛專門修補其侍服器,若無按呢做,任何耍家攏會當使用這空隙。
利用方法
佇咧一个無咧修復該落空的 Minecraft 濟人遊戲侍服器 ( 如 Minecraft 一孵一二 . 二 ) 通過開講框發送該批評的示比如講下:
其中「wikipedia . org」會當替換做攻擊者的惡意網站,比如講 DNSLog,發送後攻擊者客戶捀嘛會卡死幫敗,輸出為攻擊者嘛會當將劍號名做該信息刣死人來觸發該空 ( 佇咧部份濟人侍服器予人稱做崩服劍 )
防範方法
- 咧侍服器咧拍補丁
- 咧侍服器上安裝開講過濾插件禁止用戶發送這類的消息(通常禁止用戶發送第一个字符為「$」的消息)來達到防範目的
- 使用 JVM 參數: