Benny 
阿里因為Log4j 的漏洞被工信部暫停半年,Log4j 的漏洞是什麼呢?
微軟日前在官網公告中,提及軟體「Log4j」出現嚴重安全漏洞。Log4j 的漏洞,編號為 CVE-2021-44228,又被稱為 Log4Shell,甚至有業界人士形容為「核彈級漏洞」。
微軟再指,曾偵測到來自中國、伊朗、北韓、土耳其等國家亦有支持其駭客進行攻擊。
對於 Log4j 漏洞的簡單比喻,sever或者是攝影機之類的拿來記錄東西用的。漏洞原理是只要紀錄某些特定格式的文字,就會觸發一個功能可以執行程式碼。
Log4j 是什麼?
Log4j 是目前全球流行使用的軟件,而其設計上是基於Java系統,用於記錄網絡和應用程式中的活動,所以以 Java 為基礎的應用程式有可能會被攻擊。這些程式語言都會有些專門做 log 的套件。簡單來說,一早就有技術人士把功能都寫好了,大把拿來用就行。
美國國土安全部旗下網絡安全與基礎設施安全局(CISA)局長伊斯特利(Jen Easterly)推測,全球可能有過億部裝置受到波及。Log4j 現已推出更新,CISA 亦呼籲大型金融機構和衛生護理界高層應盡快安裝。
