“互联网破了个洞”

Java的Log4j2开源日志框架存在一个漏洞，影响整个互联网的数字系统，让全球“互联网破了个洞”，成为今年(5年内？)以来最严重的安全漏洞。

中国时间从12月10日凌晨开始，各大安全厂家甚至直接凌晨1-2点喊你“起床”修复，这是迄今为止绝无仅有的。

先看2个评价：

• 前美国国家安全局精英黑客团队成员杰克·威廉姆斯：这个漏洞极其严重，是一个被广泛使用的库中的RCE(远程代码执行)漏洞。
• 美国国家安全局网络安全主管罗伯·乔伊斯：“log4j漏洞是一个重大的漏洞利用威胁，由于广泛包含在软件框架中，甚至NSA的GHIDRA也存在”(注：Ghidra是由美国国家安全局(NSA)研究部门开发的软件逆向工程(SRE)套件，用于支持网络安全任务)。

再看影响范围，修复之前受影响的有：

NSA，谷歌，苹果，腾讯， Steam，推特，百度，滴滴，京东，网易，亚马逊，特斯拉，领英，Apache，IBM，PaloAlto，VMWare，CloudFlare，ghidra，UniFi，Elastic，Blender，Webex，Minecraft...(可能涉及成千上万公司产品)。

所以我们称之为“互联网破了个洞”并非夸张。

Apache Log4j2 是一个基于 Java 的日志工具。这个工具重写了Log4j框架，引入了很多丰富的特性。日志框架广泛应用于业务系统开发中，用于记录日志信息。虽然如今这种编程语言不太受消费者欢迎，但它仍然在全球企业系统和Web应用程序中得到广泛使用。Log4j被全球数十亿设备使用，或者是软件供应链中不可或缺的一部分。

2021年11月24日，阿里云安全团队正式向Apache报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2的部分功能具有递归分析功能，攻击者可以直接构造恶意请求触发远程代码执行漏洞，从而控制他们。

漏洞利用不需要特殊配置。经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受到影响。 

Log4Shell CVSSv3 严重性等级评分：10/10

漏洞级别：严重

影响面：广泛 

攻击者价值：高 

利用难度：超易 

通用修补建议（速、速、速修复）：

升级到最新版本 2.15.0-rc2 ：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

本次漏洞阿里在11月24日提交报告，11月26日被分配CVE编号。但爆发点集中在12月9日POC被公开披露后(Cloudflare声称第一次看到了漏洞的利用在2021-12-01，表明至少在POC公开披露前9天就已经存在被利用)，美国NVD发布日期：2021年12月10日(中国时间12月11日)。

虽然当天无补丁，但国内安全厂家在10日凌晨通宵率先公开缓解措施，在本次漏洞预警和修复上完全扮演了引领世界的角色，我们为此点赞！

目前黑客已经在尝试利用它，研究人员警告说，即使出现修复程序，，该漏洞可能会在全球范围内产生严重影响。全球安全响应人员正在争先恐后地修补该漏洞，该漏洞很容易被利用来远程控制易受攻击的系统。与此同时，黑客正在积极地在互联网上扫描受影响的系统。一些人已经开发出可以自动尝试利用该漏洞的工具，以及可以在适当条件下由一个易受攻击的系统独立演变成到另一个世界级蠕虫。

所以速、速、速修复！