Re: [新聞] 日誌框架爆漏洞，iCloud、Minecraft、Ste

※ 引述《wizardfizban (瘋法師)》之銘言：
: 日誌框架爆漏洞，iCloud、Minecraft、Steam 等雲端服務密碼全受影響
: https://chinese.engadget.com/log4shell-vulnerability-log4j-054246291.html
: 深泛應用到不同網路服務，包括 Apple iCloud、Steam、Minecraft、Amazon、Twitter、: Minecraft 等的開源日誌框架 Log4j，被發現存有名為 Log4Shell 漏洞，導致相關服務: 的密碼數據都有外洩的可能。據 The Verge 的報導，日誌框架 Log4j 的作用是用以記錄: app 和服務發生過的所有事件，以便開發者可以分析效能，同時可以用來除錯。
: 據 Ars Technika 的說法，首個公佈發現了這個 Log4Shell 漏洞的是 Minecraft，他們: 表示這漏洞會讓駭客可以在遊戲裡執行惡意程式。然而在這個發現之後不久，曾經阻止: WannaCry 散播的安全研究員 Marcus Hutchins，就表示這個 Log4Shell 有著極高嚴重: 性，因為有上百萬個不同 app 都有使用 Log4j 框架。
: 具體來說，Log4Shell 漏洞可讓駭客在目標服務的伺服器中執行惡意程序並下載數據，而: 且執行的方法非常簡單，只需要在服務裡留言就可以觸發動作。以 Minecraft 為例，: Hutchins 表示只需要在留言區中張貼訊息就可以了。至於要在 Apple 伺服器中觸發漏洞: ，app 安全研究公司 LunaSec 表示更是簡單得只要更改 iPhone 名稱就可以。
: 幸好的是 Log4j 已經修復問題，而受影響的服務，包括 Minecraft 和 Cloudflare 也個: 別有補丁來保護使用者。還有其他在使用 Log4j 框架的服務，也請各自的開發者盡快更: 新。
: ====
: 之前麥塊那發現的問題影響這麼大哦！多數雲端服務都有影響？

可以參考這一篇
https://www.lunasec.io/docs/blog/log4j-zero-day/

主要原因跟結果就是
log4j(version 2) was discovered that results in Remote Code Execution(REC) by logging a certain string.

影響版本為
Apache log4j2 >= 2.0, <= 2.14.1

如果是 >=2.9.1以及之後的版本的話可以在
log4j2.component.properties 增加以下的內容
log4j2.formatMsgNoLookups=True
log4j.formatMsgNoLookups=True

2.0~2.10 版本可以在 jvm 啟動參數中加上
-Dlog4j2.formatMsgNoLookups=true 與
-Dlog4j.formatMsgNoLookups=true 關閉功能

或是把系統變數 "FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS" 調成 true 也可以

然後現在還有提到 Apache Tomcat 上的 org.Apache.naming.factory.BeanFactory 來攻擊的事情
https://www.veracode.com/blog/research/exploiting-jndi-injections-java

你各位自家產品有用 log4j.core 記得檢查一下R

spring boot 是只有 interface 用到，應該是沒問題

-----
Sent from JPTT on my Asus ASUS_Z01GS.

--