Re: [新聞] 日誌框架爆漏洞,iCloud、Minecraft、Ste
※ 引述《wizardfizban (瘋法師)》之銘言:
: 日誌框架爆漏洞,iCloud、Minecraft、Steam 等雲端服務密碼全受影響
: https://chinese.engadget.com/log4shell-vulnerability-log4j-054246291.html
: 深泛應用到不同網路服務,包括 Apple iCloud、Steam、Minecraft、Amazon、Twitter、: Minecraft 等的開源日誌框架 Log4j,被發現存有名為 Log4Shell 漏洞,導致相關服務: 的密碼數據都有外洩的可能。據 The Verge 的報導,日誌框架 Log4j 的作用是用以記錄: app 和服務發生過的所有事件,以便開發者可以分析效能,同時可以用來除錯。
: 據 Ars Technika 的說法,首個公佈發現了這個 Log4Shell 漏洞的是 Minecraft,他們: 表示這漏洞會讓駭客可以在遊戲裡執行惡意程式。然而在這個發現之後不久,曾經阻止: WannaCry 散播的安全研究員 Marcus Hutchins,就表示這個 Log4Shell 有著極高嚴重: 性,因為有上百萬個不同 app 都有使用 Log4j 框架。
: 具體來說,Log4Shell 漏洞可讓駭客在目標服務的伺服器中執行惡意程序並下載數據,而: 且執行的方法非常簡單,只需要在服務裡留言就可以觸發動作。以 Minecraft 為例,: Hutchins 表示只需要在留言區中張貼訊息就可以了。至於要在 Apple 伺服器中觸發漏洞: ,app 安全研究公司 LunaSec 表示更是簡單得只要更改 iPhone 名稱就可以。
: 幸好的是 Log4j 已經修復問題,而受影響的服務,包括 Minecraft 和 Cloudflare 也個: 別有補丁來保護使用者。還有其他在使用 Log4j 框架的服務,也請各自的開發者盡快更: 新。
: ====
: 之前麥塊那發現的問題影響這麼大哦!多數雲端服務都有影響?
可以參考這一篇
https://www.lunasec.io/docs/blog/log4j-zero-day/
主要原因跟結果就是
log4j(version 2) was discovered that results in Remote Code Execution(REC) by logging a certain string.
影響版本為
Apache log4j2 >= 2.0, <= 2.14.1
如果是 >=2.9.1以及之後的版本的話可以在
log4j2.component.properties 增加以下的內容
log4j2.formatMsgNoLookups=True
log4j.formatMsgNoLookups=True
2.0~2.10 版本可以在 jvm 啟動參數中加上
-Dlog4j2.formatMsgNoLookups=true 與
-Dlog4j.formatMsgNoLookups=true 關閉功能
或是把系統變數 "FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS" 調成 true 也可以
然後現在還有提到 Apache Tomcat 上的 org.Apache.naming.factory.BeanFactory 來攻擊的事情
https://www.veracode.com/blog/research/exploiting-jndi-injections-java
你各位自家產品有用 log4j.core 記得檢查一下R
spring boot 是只有 interface 用到,應該是沒問題
-----
Sent from JPTT on my Asus ASUS_Z01GS.
--
基本上就是不能把不可信任的資料丟給jndi lookup,都有
injection風險,而這次log4j事件嚇人的地方是專門用來塞各
種不可信任的資料的log library,居然自己在做jndi lookup
20
Re: [閒聊] 關於Chrome無法背景執行的解決方法直接發一篇統整前面說的方法好了 針對更新到99+版本的Chrome, Edge 以及Opera, 如果你不想換瀏覽器, 還有以下方法可能可以防止視窗被覆蓋就裝死的狀態 理論上是一勞永逸, 只要chrome不改架構應該不受未來更新影響 A. 改系統Policy (目前實測對Chrome有效, Edge似乎無效?)13
[討論] Apple Watch 心律不整監測 未啟用今天watchos7.2更新之後 台灣成為唯一一個 ECG和心律不整監測只開放一個的國家 其他表單上國家都是兩個全開 以下為個人推測 合理懷疑心律不整監測在法規上遇到無法解決的障礙 法規上的問題我在板上另一篇文章有提到 #1Vlr37sX (iOS)4
Re: [情報] 駭客利用AMD EPYC伺服器挖礦8天賺10萬鎂這記者到底是在寫三小? 最好intel平台的伺服器不會被攻擊啦 【資安警訊】 Apache Log4j日誌框架系統重大漏洞(CVE-2021-44228),已出現攻擊行動 ,需儘速採取緩解措施3
[求救] Bootcamp Windows 無法連線VPN型號: Macbook Air 2015 early 11.6" 硬體: 8Gb ram、原廠SSD (128G)、副廠SSD(256G) 系統: macOS Monterey 12.01、macOS Big Sur 11.6 Boot Camp: Windows 10 與 Windows 11
爆
[閒聊] 因為用了浮水印 追蹤少了1000人爆
[情報] 民視新聞氣象出現吉伊卡哇爆
[閒聊] 橫槍 推特 談為何不提到連載內容92
[蔚藍] 台港澳周邊商店 VS 中國周邊商店90
[情報] 生死格鬥 瑪莉羅絲 泡溫泉 1/6 PVC62
[鳴潮] 中國的玩家是不是容忍度比較低??63
[索尼] 價格不是問題!PS5P首周銷量更勝PS4P59
[閒聊] 棒球比賽有無DH的差別是什麼?62
[闇龍] 每個角色都有5萬根髮絲,髮型造型獨特58
[情報] 寶可夢 金銀 發售25周年 紀念商品!57
Re: [閒聊] 瑪奇早期曾經通膨很慢?54
[閒聊] 地球超人在台灣會怎樣52
[閒聊] 尼爾:頑皮狗沒新作消息是索尼不讓發表43
[24秋] 幹你娘Re:0這季只有8集喔48
[討論] 如果想要打贏聖杯戰爭被哪位御主召喚最好46
[地錯] "一心憧憬" 那到底是什麼技能啊50
[討論] 浦原跟藍染對服裝品味那邊更好44
[問題] 真的有PC玩家,日夜期盼血源詛咒嗎?43
[Vtub] 這次holo甲子園誰的比賽最好看42
[妮姬] 泰特拉會不會太多了吧39
[閒聊] 你覺得「火力全開」的動畫13
[討論] 膽大黨0739
[妮姬] 這次2週年是不是去年的完美復刻52
[妮姬]二周年回憶報告37
[問題] 女角為什麼要穿裙子戰鬥?39
[閒聊] 把女友叫做拿尼加有很過分嗎?37
[閒聊] 假面騎士聖刃到底在演三小?35
[閒聊] 鳴潮 椿卡池34
[閒聊] 「電磁砲」研究的最新進展:成功實現「彈48
[情報] 爆肝工程師的異世界狂想曲TV續篇確定