Log4Shell 重大安全漏洞影响百万软件 Steam、 iCloud 成攻击目标

【美博翻墙】重大安全漏洞 Log4Shell曝光，是存在于网络 Java 中的 log4j，程序内建纪录工具，以方便开发者在系统出问题时进行检查，被广泛应用于各种程序和服务。

据外媒《The Verge》报导，本次曝光的漏洞名为 Log4Shell，是存在于网络 Java 中的 log4j ，被广泛应用于各种程序、服务，是一种程序内的纪录工具，得以方便开发者在系统出问题时进行检查。其存在的 Log4Shell 漏洞将能使黑客进行远端的服务器攻击，在用户设备植入恶意软件，加以进攻。

知名网络安全研究员 Marcus Hutchins 指出：有上百万款软件都使用 Log4j 在记录程序活动，黑客只需要输入一串特殊指令，就能远端执行程序代码。他点名包含苹果 iCloud、游戏平台 Steam 以及知名游戏 Minecraft 都会受到漏洞进攻。

网络安全公司 Cloudflare 技术长 John Graham-Cumming 则进一步警告，表示因为有大量 Java 软件连线到互联网、后台系统，而过去 10 年，只有另外两个类似的严重漏洞出现过。

目前 log4j 已经发布更新开始修补漏洞，但为了确保各大软件、平台不会受到进攻，Log4Shell 漏洞的更新档案恐怕会是接下来一段时间各个科技公司头疼的项目。

临时解决方案：

1.对于Log4j 1.x版本

移除JMSAppender.class文件，命令为：

zip -q -d log4j-1.x.jar org/apache/log4j/net/JMSAppender.class（使用该方案时需经过测试，避免对实际业务产生影响）

2.对于log4j2 >=2.10的版本(以下三种方案任选其一)：

1)添加log4j2.component.properties配置文件，增加如下内容为：

log4j2.formatMsgNoLookups=true

2)设置 jvm 参数: -Dlog4j2.formatMsgNoLookups=true

3)设置系统环境变量：LOG4J_FORMAT_MSG_NO_LOOKUPS=true

3.对于log4j2 <2.10的版本：

可以通过移除JndiLookup类的方式，命令为：

zip -q -d log4j-core-2.x.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

原文链接：https://allinfa.com/major-security-vulnerabilities-log4shell-java-log4j.html

欢迎关注 信息安全技术频道🔎 https://t.me/tg_InternetSecurity

如何在频道中查找想要的翻墙软件、信息安全技术资源、安全上网方案： https://t.me/tg_InternetSecurity/2093

还可以加入讨论群交流 https://t.me/tgInternetSecurity