Apache Log4j 漏洞,美資安公司:過去十年最嚴重

作者 | 發布日期 2021 年 12 月 15 日 10:50 | 分類 網路 , 資訊安全 , 軟體、系統 Telegram share ! follow us in feedly


一廣泛使用的軟體程式庫新發現的漏洞正造成網路大亂,駭客摩拳擦掌想趁機作亂,迫使網路捍衛者倉促行動,急著補破網。

此漏洞來自幫助軟體開發者追蹤應用程式變更的人氣開放原始碼產品,由於產品相當受歡迎,許多公司程式都有嵌入,安全主管預期會出現廣泛濫用。

資安公司Tenable執行長、美國電腦緊急應變小組(Computer Emergency Readiness Team)創始董事尤蘭(Amit Yoran)表示:「Apache Log4j遠端程式碼執行(Remote Code Execution execution,RCE)漏洞是過去十年最大且最嚴重的單一漏洞。」

美國政府10日警告私人企業Log4j漏洞及可能造成的風險。

國土安全部旗下網路安全和基礎設施安全局(CISA)局長今天在視訊會議表示,這是多年來看過最重大的漏洞之一,敦促各公司讓員工假日上班,對付使用新方法利用漏洞的人。

Log4j影響的軟體有許多或許非大眾熟悉,但美國資訊科技公司SolarWinds去年深陷俄羅斯間諜活動風暴時,這些主力程式無所不在,成為數位入侵者理想的出發點。

安全專家表示,Apache 10日雖釋出修補程式,受影響的公司和網路捍衛者仍需時間找出脆弱的軟體,確實執行修補程式。

(譯者:鄭詩韻;首圖來源:shutterstock)

延伸閱讀: