此漏洞來自一個幫助軟體開發者追蹤其應用程式變更的人氣開放原始碼產品,由於這項產品相當受歡迎,許多公司程式都有內嵌,安全主管預期會出現廣泛濫用。
資安公司Tenable執行長、美國電腦緊急應變小組(Computer Emergency Readiness Team)創始董事尤蘭(Amit Yoran)表示:「Apache Log4j遠端程式碼執行(Remote Code Execution execution, RCE)漏洞是過去10年來最大且最嚴重的單一漏洞。」
美國政府10日對私人企業警告Log4j漏洞及其可能造成的風險。
國土安全部旗下網路安全和基礎設施安全局(CISA)局長今天在視訊會議表示,這是多年來看過最重大的漏洞之一,敦促各公司讓員工在假日上班,對付那些使用新方法利用這種漏洞的人。
Log4j影響的軟體有許多或許非大眾所熟悉,但在美國資訊科技公司SolarWinds去年深陷俄羅斯間諜活動風暴時,這些主力程式無所不在,讓它們成為數位入侵者理想的出發點。
安全專家表示,Apache 10日雖已釋出修補程式,受影響的公司和網路捍衛者仍需時間找出脆弱的軟體,確實執行修補程式。
(中央社)
更多新聞: 快新聞/高鐵大學生寒假返鄉5折優惠來了! 加開14班次12/17開放訂購
