一广泛使用的软件程式库新发现的漏洞正造成网络大乱,骇客摩拳擦掌想趁机作乱,迫使网络捍卫者仓促行动,急着补破网。
此漏洞来自帮助软件开发者追踪应用程序变更的人气开放源代码产品,由于产品相当受欢迎,许多公司程式都有嵌入,安全主管预期会出现广泛滥用。
资安公司Tenable首席执行官、美国电脑紧急应变小组(Computer Emergency Readiness Team)创始董事尤兰(Amit Yoran)表示:“Apache Log4j远端程式码执行(Remote Code Execution execution,RCE)漏洞是过去十年最大且最严重的单一漏洞。”
美国-10日警告私人企业Log4j漏洞及可能造成的风险。
国土安全部旗下网络安全和基础设施安全局(CISA)局长今天在视讯会议表示,这是多年来看过最重大的漏洞之一,敦促各公司让员工假日上班,对付使用新方法利用漏洞的人。
Log4j影响的软件有许多或许非大众熟悉,但美国资讯科技公司SolarWinds去年深陷俄罗斯间谍活动风暴时,这些主力程式无所不在,成为数位入侵者理想的出发点。
安全专家表示,Apache 10日虽释出修补程式,受影响的公司和网络捍卫者仍需时间找出脆弱的软件,确实执行修补程式。
(译者:郑诗韵;首图来源:shutterstock)
延伸阅读:
- 网络程式爆严重漏洞,苹果 iCloud 等恐沦攻击目标
