2022年04月02日
事件背景
12月10日,看到朋友圈中已经有人在通宵修改、上线系统了。随即,又看到阿里云安全、腾讯安全部门发出的官方报告:”Apache Log4j2存在远程代码执行漏洞“,且漏洞已对外公开。
看到相关消息,马上爬起来把所有项目的日志系统过滤一遍,还好老项目采用的log4j,新项目采用的logback,没有中招。随后就看到朋友圈铺天盖地的相关消息。
作为一个史诗级的事件,紧急修改漏洞是必然的。作为程序员,如果看到这则消息,连去核查一下系统都做不到,那真的不是一个合格的程
2022年04月02日
12 月 10 日消息,近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。
Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
漏洞利用无需特殊配置,经安全
2022年04月02日
Log4j今日被曝严重漏洞,作为Java界日志工具的杠把子,Log4j和Logback几乎统一了江湖,影响面不可谓不大。比如,Apache Struts2、Apache Solr、Apache Druid、Apache Flink、Minecraft 、iCloud整个生态都受到影响。
被影响的版本包括从2.0到2.14.1,跨度比较大。
2.0<=Apachelog4j<=2.14.1
赶紧瞧一下自己有没有中招。
通过Debug log4j的代码,最终定位到发生问题的代码。可以
2022年04月02日
近年来,针对供应链基础设施的大规模网络攻击,已经日渐引发大家的关注。比如在 Colonial Pipeline 遭受勒索软件攻击而导致业务停摆之后,美国多地的加油站的汽油价格,也在一段时间里被迫大幅上调。近日,一家顶级奶油奶酪生产商又表示其遭受了一次网络攻击,导致旗下产线被迫停工数日。对于终端消费者来说,最直观的感受就是竟然又出现了某类物资供应的短缺。
彭博社报道指出,当前影响百吉饼店的奶油奶酪短缺,部分归咎于美国最大奶酪生产厂商之一的恒泰食品有限公司(Schreiber Foods)遭遇
2022年04月02日
据SecurityAffairs消息,Moobot 僵尸网络正在利用海康威视产品的漏洞进行快速传播。
资料显示,Moobot是一款基于Mirai的僵尸网络,2021年2月,Palo Alto Unit 42 安全研究人员首次发现并记录了Moobot僵尸网络,而最近频繁出现的网络攻击表明,黑客组织正在增强他们的恶意软件。
这是海康威视网络摄像机/NVR固件中,一个未经身份验证的远程代码执行(RCE)漏洞,编号为CVE-2021-36260。这个关键问题影响了海康威视旗下70多个款摄像头,由于
2022年04月02日
曾经一段时期,密码技术应用范围还很小,国内只有少数单位使用密码技术。进入新世纪后,特别是近年来,信息化渗透到生产生活各个角落。老百姓用网络数据来创造财富、通过计算机来鉴别凭证真伪、靠智能终端安排日程,信息安全成了每个人面临的现实问题。
事实上,我们使用的电脑、手机等电子产品,背后都有一套密码系统。在信息化环境中,我们每次下载验证代码的来源、每次支付确保数据的完整都需要密码技术支撑。由于它不是单独的功能,而是其他功能的安全保障,平时人们感觉不到它的存在。但是,密码技术一旦有漏洞,就会产生一系列网
2022年04月02日
据外媒,近期有消息表示,Bitdefender给用户发邮件称即将对旗下免费版杀软(Bitdefender Antivirus Free Edition)停止支持。Bitdefender作为一家杀毒软件公司,除了自己做安全软件,还为360、腾讯、微软等提供技术支持。
Bitdefender表示,Bitdefender Antivirus Free Edition将于2022年1月1日后关停,但为了方便用户迁移到新杀软,技术支持时间持续到6月30日结束。同时为免费版用户提供了升级折扣,订阅全功
2022年04月02日
近日,包括豆瓣在内的106款因损害用户权益被下架引发关注。这已经不是工信部第一次出手整治违规App,近几年知名App因违规被处罚频频登上热搜。数据监管已经成为我国立法的重点关照对象,相关法律法规陆陆续续出台。
其中包括了《个人信息保护法》,规定APP在使用过程中,不得收集超出必要范围的个人信息,并出台《常见类型移动互联网应用程序必要个人信息范围规定》,对不同类型App的功能、可以采集的信息进行了规定。
很快,各大知名App响应了政策,纷纷对功能进行调整。以微博为例,在微不可查的隐私栏最下面增
2022年04月02日
据HackRead新闻网站披露,美国网络作战部门负责人Paul Nakasone 将军称,无论任何组织、任何级别针对基础设施的网络攻击,网络部队都已做好了充足的准备。
勒索软件团伙逐渐被重视
美国网络司令部正在采取积极措施,打击美国境内的勒索软件网络犯罪团伙。根据该部门发言人称,之所以做出这一决定,主要因为五月份的Colonial Pipeline勒索软件攻击,让政府部门意识到,打击网络犯罪的必要性。
根据CNN 报道,尽管军方发言人没有提出打击网络犯罪组织的具体行动方案和目标,大部分媒
2022年04月02日
近日有报道称,包括苹果 iCloud、推特、Cloudflare、《我的世界》、以及 Steam 等在内的诸多热门服务,均易受到一个零日漏洞的影响。Luna Sec 安全研究人员将这个存在于流行的 Java 日志库中的零日漏洞利用称作“Log4Shell”,且已在 Apache Log4j 中发现。后者是一款开源的日志实用程序,且被大量应用程序、网站和相关服务所采用。
(来自:Luna Sec)
起初,研究人员仅在微软旗下的《我的世界》中发现了“Lo