日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

12月22日上午，一則阿里云被暫停其工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位身份，為期6個月的消息，在網(wǎng)上瘋傳。

創(chuàng)新互聯(lián)是一家專注網(wǎng)站建設(shè)、網(wǎng)絡(luò)營銷策劃、成都小程序開發(fā)、電子商務(wù)建設(shè)、網(wǎng)絡(luò)推廣、移動互聯(lián)開發(fā)、研究、服務(wù)為一體的技術(shù)型公司。公司成立10多年以來，已經(jīng)為超過千家葡萄架各業(yè)的企業(yè)公司提供互聯(lián)網(wǎng)服務(wù)。現(xiàn)在，服務(wù)的超過千家客戶與我們一路同行，見證我們的成長；未來，我們一起分享成功的喜悅。

據(jù)工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報稱，阿里云因在發(fā)現(xiàn)阿帕奇Log4j2組件重大安全漏洞后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。被暫停其工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位身份，為期6個月。

網(wǎng)絡(luò)安全管理局表示，暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。

自12月9日夜間Log4j 2漏洞發(fā)現(xiàn)以來，受到業(yè)內(nèi)外的極大關(guān)注，一位網(wǎng)友表示，“以前不關(guān)注網(wǎng)絡(luò)安全領(lǐng)域都對這一漏洞有所了解。”

一位安全專家表示:“從Log4j2漏洞披露以來，基本上震動全民，不管是安全從業(yè)者，還是安全愛好者抑或是做黑產(chǎn)、做勒索的黑客，基本上徹夜不眠，行動不斷。"

眾所周知，Apache Log4j是被全球廣泛應(yīng)用的組件，其漏洞影響范圍波及全球堪比“永恒之藍”漏洞，利用復(fù)雜度低，一旦利用成功，可能導致設(shè)備遠程受控，進而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴重危害，造成的危害和損失不可預(yù)估。

據(jù)相關(guān)媒體報道稱，比利時國防部網(wǎng)絡(luò)最近受到不明攻擊者的成功攻擊，攻擊者利用Apache日志庫log4j的巨大漏洞實施攻擊。

不僅是政府，還有企業(yè)也是攻擊的對象，只要使用JAVA開發(fā)的基本上都會受到影響。同時個人用戶受到攻擊的案例也已經(jīng)出現(xiàn)。《我的世界》JAVA版游戲前幾天被監(jiān)測出大量黑客利用Apache Log4j 2漏洞攻擊個人用戶。

Log4j 2影響的后果逐漸顯現(xiàn)。

1.阿里云被“以身試法”了嗎?

一位業(yè)內(nèi)人士表示：“按照業(yè)內(nèi)漏洞披露的周期，整個流程應(yīng)該是，先報給廠商，廠商根據(jù)漏洞影響度，在相應(yīng)的時間提供一個解決方案，然后10天、 45 天或者 90 天，然后廠家提供了解決方案以后，才會出一個漏洞通告。”

這次Log4j 2漏洞的特殊就在于它本身是一個開源的軟件。沒有給修復(fù)時間就被瘋狂轉(zhuǎn)發(fā)，因為開源軟件修復(fù)代碼是公開的，而修復(fù)代碼里面一部分就是測試代碼，而測試代碼就是用來檢查修復(fù)是否正確，整個過程相當于是公開的，基本上就等于公開了漏洞原理和攻擊方式。

自阿里云12月9日將漏洞報告給Apache，Log4j 2漏洞也開始逐漸發(fā)酵。

而自2021年9月1日正式施行的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》：不得在網(wǎng)絡(luò)產(chǎn)品提供者提供網(wǎng)絡(luò)產(chǎn)品安全漏洞修補措施之前發(fā)布漏洞信息。認為有必要提前發(fā)布的，應(yīng)當與相關(guān)網(wǎng)絡(luò)產(chǎn)品提供者共同評估協(xié)商，并向工業(yè)和信息化部、公安部報告，由工業(yè)和信息化部、公安部組織評估后進行發(fā)布。

同時該規(guī)定明確相關(guān)企業(yè)要接受至少4家的管理檢查，分別是 國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部和有關(guān)行業(yè)主管部門;同時企業(yè)應(yīng)當在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息。

《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第三條規(guī)定 國家互聯(lián)網(wǎng)信息辦公室負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理工作。工業(yè)和信息化部負責網(wǎng)絡(luò)產(chǎn)品安全漏洞綜合管理，承擔電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)產(chǎn)品安全漏洞監(jiān)督管理。公安部負責網(wǎng)絡(luò)產(chǎn)品安全漏洞監(jiān)督管理，依法打擊利用網(wǎng)絡(luò)產(chǎn)品安全漏洞實施的違法犯罪活動。有關(guān)主管部門加強跨部門協(xié)同配合，實現(xiàn)網(wǎng)絡(luò)產(chǎn)品安全漏洞信息實時共享，對重大網(wǎng)絡(luò)產(chǎn)品安全漏洞風險開展聯(lián)合評估和處置。

據(jù)了解，12月9日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工信部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)開展漏洞風險分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機構(gòu)等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業(yè)單位進行風險預(yù)警。

2.Log4j 2漏洞，三步攻陷任何設(shè)備

Log4j 2是近十年來可以排到top3的漏洞，影響面極廣，包括大部分線上業(yè)務(wù)、我們平時使用的網(wǎng)站以及有網(wǎng)絡(luò)外聯(lián)功能的硬件產(chǎn)品。

目前來看一些勒索病毒、挖礦等都已經(jīng)開始有所動作了，其中PoC攻擊方式也已經(jīng)在互聯(lián)網(wǎng)出現(xiàn)，雖然一些安全廠商也已經(jīng)及時響應(yīng)，做出一些監(jiān)測方案和修復(fù)方案，但是絕大部分網(wǎng)站還是會受到影響，只是目前評估起來比較困難。

對于企業(yè)來說即便受到攻擊，也只能打碎牙往肚子里咽。沒有受到攻擊的企業(yè)或更新版本或找安全廠商找補漏洞。

據(jù)雷峰網(wǎng)(公眾號：雷峰網(wǎng))了解，此次log4j 2的攻擊門檻非常低，不需要任何特殊配置，只要默認配置就可以，因為攻擊代碼可以嵌入開發(fā)人員最常用的函數(shù)中，直接控制目標服務(wù)器。

log4j 是一個日志組件，用來記錄日志的。一般來說，一個網(wǎng)站或者一個桌面軟件的日志組件是在整個軟件組件結(jié)構(gòu)中的。而 log4j 恰恰是 Java 中，同時slf4j也是Java 中的，以往這兩個日志組件的漏洞加起來都沒有超過兩位數(shù)，而且攻擊也得滿足很多配置，不容易成功。

那么我們來還原一下利用log4j漏洞整個實現(xiàn)的過程，為什么很容易實現(xiàn)。

• 第一步：攻擊者通過掃描器或者其他批量腳本等手段，發(fā)送大量請求，確定了攻擊入口。
• 第二步：發(fā)一段JNDI 代碼，引導受害者向惡意服務(wù)器發(fā)送請求，接著惡意服務(wù)器會返回一堆代碼。
• 第三步：再發(fā)送攻擊代碼，讓受害者請求惡意服務(wù)器請求，這中間發(fā)的東西不一樣，第二次惡意服務(wù)器返回給受害者的代碼，就能實現(xiàn)管理者控制受害者的目的。

事實上，只要你在網(wǎng)站上的一切操作，日志就像一個監(jiān)視器一樣，記錄你的一切操作。不管是鍵盤輸入、鼠標點擊亦或是網(wǎng)站代碼的變化，電腦上的軟件以及網(wǎng)站都會被記錄在數(shù)據(jù)庫中，一旦攻擊者給你發(fā)送消息，那么你的所有數(shù)據(jù)都將泄露。

一些廠家表示，只要切斷其中一條鏈路就可以防止攻擊，也可以通過升級新版本來避免漏洞，但是部分企業(yè)反映如果升級會對業(yè)務(wù)造成影響，甚至崩潰，只能使用網(wǎng)絡(luò)安全廠家的解決方案。

2021年的最后一個月可謂是網(wǎng)絡(luò)安全圈的驚心動魄。而此次Log4j2漏洞非常值得思考，要知道漏洞挖掘的難度、技術(shù)含量跟漏洞利用、漏洞影響并非一個概念。

本文轉(zhuǎn)自雷鋒網(wǎng)，如需轉(zhuǎn)載請至雷鋒網(wǎng)官網(wǎng)申請授權(quán)。

本文題目：阿里云都被責令整改了，Log4j2漏洞惹出的亂子何時休？
文章分享：http://www.5511xx.com/article/copdjgc.html