偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

禁止套娃:新發(fā)布的Log4j補丁被發(fā)現(xiàn)又包含一個可利用的漏洞

安全 漏洞
Log4j黑客,也被稱為Log4Shell已經(jīng)有一個補丁,已經(jīng)可以部署到企業(yè)。但事實證明,這個補丁玩起了“套娃”。

就在我們了解到國家支持的黑客已經(jīng)開始研究上周震驚網(wǎng)絡(luò)安全界的Log4j漏洞問題時,其他研究人員發(fā)出了一個令人不安的發(fā)展信號。Log4j黑客,也被稱為Log4Shell已經(jīng)有一個補丁,已經(jīng)可以部署到企業(yè)。但事實證明,這個補丁玩起了“套娃”:它解決原有問題的同時又產(chǎn)生新的安全問題,且可以被外部利用。因此,希望保護他們的系統(tǒng)免受Log4j攻擊的公司必須部署一個新的補丁,修復(fù)之前的補丁。

正如我們在以前的報道中所解釋的,Log4j黑客是非常危險的。這是因為它幾乎影響到所有提供互聯(lián)網(wǎng)服務(wù)的公司。這個安全漏洞存在于一個被廣泛使用的Java日志工具中。自上周四披露以來,網(wǎng)絡(luò)安全研究人員已經(jīng)目睹了數(shù)十萬次利用該漏洞的嘗試。這包括來自國家支持的黑客的攻擊,與大多數(shù)黑客相比,他們擁有大量可支配的資源。只要互聯(lián)網(wǎng)公司不對他們的系統(tǒng)應(yīng)用現(xiàn)有的Log4j補丁,他們就會面臨風(fēng)險。

黑客可以利用Log4j黑客技術(shù),在沒有密碼的情況下進入計算機服務(wù)器。從那里,他們可以安裝其他惡意程序。這些工具將讓他們竊取信息,進行勒索軟件攻擊,或挖掘加密貨幣。根據(jù)最初描述安全問題的報告,有人利用了《Minecraft》里面的漏洞。微軟很快給Minecraft打了補丁,并不斷發(fā)布關(guān)于Log4j漏洞在外部世界的安全更新。

普通的終端用戶無法自己修復(fù)Log4j黑客的問題。這并不像將操作系統(tǒng)或應(yīng)用程序更新到最新、最安全的版本那樣容易。是互聯(lián)網(wǎng)公司必須部署最新的Log4j補丁來保護服務(wù)器。

但安全研究人員已經(jīng)發(fā)現(xiàn),Apache基金會上周發(fā)布的Log4j 2.15.0補丁至少有兩個需要修復(fù)的漏洞。報告說,已經(jīng)安裝了Log4j 2.15.0的企業(yè)應(yīng)該盡快安裝2.16.0版本。

根據(jù)一些研究人員的說法,Log4j 2.15.0的補丁"在某些非默認配置中"并不完整。反過來,這使得攻擊者可以對打了補丁的系統(tǒng)發(fā)動攻擊。來自Praetorian的安全研究人員也詳細介紹了新的安全問題,他們解釋說,黑客仍然可以從已經(jīng)部署了Log4j 2.15.0補丁的服務(wù)器上竊取數(shù)據(jù)。

"在我們的研究中,我們已經(jīng)證明2.15.0在某些情況下仍然可以實現(xiàn)敏感數(shù)據(jù)的滲出,"研究人員說。"我們已經(jīng)把這個問題的技術(shù)細節(jié)傳遞給了Apache基金會,但在這期間,我們強烈建議客戶盡快升級到2.16.0。"

Praetorian發(fā)布了對Log4j 2.15.0補丁的概念證明攻擊,但沒有披露使其成為可能的技術(shù)細節(jié)。

了解更多:https://github.com/cckuailong/Log4j_CVE-2021-45046

 

責(zé)任編輯:趙寧寧 來源: 今日頭條
相關(guān)推薦

2022-01-24 10:02:53

漏洞微軟網(wǎng)絡(luò)攻擊

2021-12-14 23:44:26

漏洞Log4j項目

2022-03-25 13:42:15

Log4j漏洞網(wǎng)絡(luò)安全

2021-12-21 06:15:36

漏洞ApacheLog4j

2021-12-23 09:47:36

Log4jRCE漏洞DoS漏洞

2021-12-23 19:20:43

漏洞賞金計劃漏洞log4j

2022-01-02 07:07:55

CISAApache Log4漏洞

2021-12-23 11:03:25

Log4j 漏洞漏洞

2023-11-10 10:08:23

2022-03-30 11:29:53

漏洞補丁Spring

2021-12-26 14:46:03

Log4j漏洞網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全

2021-12-15 06:21:29

Log4Shell漏洞網(wǎng)絡(luò)攻擊

2021-12-27 12:08:30

漏洞網(wǎng)絡(luò)安全GitHub

2021-12-16 09:44:22

勒索軟件漏洞 Log4Shell

2021-12-29 14:47:43

Apache團隊Log4j漏洞

2021-12-13 01:49:34

漏洞Log4j代碼

2021-12-24 09:52:31

Traefik Log4J 漏洞

2022-03-07 09:54:34

FOSS開源軟件Log4j

2021-12-17 09:50:21

Log4Shell漏洞勒索軟件

2021-12-11 19:04:38

漏洞
點贊
收藏

51CTO技術(shù)棧公眾號