核彈級漏洞Log4shell席捲全球，蘋果iCloud也恐遭駭

2021 / 12 / 13

編輯部

廣泛應用在Apple iCloud、Steam、Minecraft、Amazon、Twitter、Minecraft 等服務的開源日誌框架 Log4j，被發現存在CVE-2021-44228漏洞，又名Log4Shell。這次曝光的漏洞存在於Java日誌框架的Log4j，用來記錄 app 和服務發生過的所有事件，以便開發者可以分析效能，同時可以用來除錯，是非常受到歡迎的工具。

「Log4Shell」最早出現在微軟旗下《Minecraft》的伺服器，應用程式安全公司LunaSec其後表示，Steam遊戲平台和蘋果iCloud也出現同樣漏洞。根據安全研究員 Marcus Hutchins，就表示這個 Log4Shell 有著極高嚴重性，因為有上百萬個不同 app 都有使用 Log4j 框架。且因為有大量Java軟體連線到網路和後台系統，Java和日誌框架的Log4j廣受利用，回顧過去10年，只有兩個漏洞的嚴重程度比得上這次Log4Shell漏洞。

具體來說，Log4Shell 漏洞可讓駭客在目標服務的伺服器中執行惡意程序並下載數據，而且執行的方法非常簡單，只需要在服務裡留言就可以觸發動作。以 Minecraft 為例，Hutchins 表示只需要在留言區中張貼訊息就可以了。至於要在 Apple 伺服器中觸發漏洞，app 安全研究公司 LunaSec 表示，簡單到只要更改 iPhone 名稱就可以。

幸好的是 Log4j 已經修復問題，而受影響的服務，包括 Minecraft 和 Cloudflare 也個別有補丁來保護使用者。還有其他在使用 Log4j 框架的服務，也請各自的開發者盡快更新。

Log4shell CVE-2021-44228 Log4j Minecraft Java Steam 開源日誌框架 iCloud