日誌框架爆漏洞，iCloud、Minecraft、Steam 等雲端服務密碼全受影響
https://chinese.engadget.com/log4shell-vulnerability-log4j-054246291.html
深泛應用到不同網路服務，包括 Apple iCloud、Steam、Minecraft、Amazon、Twitter、
Minecraft 等的開源日誌框架 Log4j，被發現存有名為 Log4Shell 漏洞，導致相關服務
的密碼數據都有外洩的可能。據 The Verge 的報導，日誌框架 Log4j 的作用是用以記錄
app 和服務發生過的所有事件，以便開發者可以分析效能，同時可以用來除錯。
據 Ars Technika 的說法，首個公佈發現了這個 Log4Shell 漏洞的是 Minecraft，他們
表示這漏洞會讓駭客可以在遊戲裡執行惡意程式。然而在這個發現之後不久，曾經阻止
WannaCry 散播的安全研究員 Marcus Hutchins，就表示這個 Log4Shell 有著極高嚴重
性，因為有上百萬個不同 app 都有使用 Log4j 框架。
具體來說，Log4Shell 漏洞可讓駭客在目標服務的伺服器中執行惡意程序並下載數據，而
且執行的方法非常簡單，只需要在服務裡留言就可以觸發動作。以 Minecraft 為例，
Hutchins 表示只需要在留言區中張貼訊息就可以了。至於要在 Apple 伺服器中觸發漏洞
，app 安全研究公司 LunaSec 表示更是簡單得只要更改 iPhone 名稱就可以。
幸好的是 Log4j 已經修復問題，而受影響的服務，包括 Minecraft 和 Cloudflare 也個
別有補丁來保護使用者。還有其他在使用 Log4j 框架的服務，也請各自的開發者盡快更
新。
====
之前麥塊那發現的問題影響這麼大哦！多數雲端服務都有影響？

標題是有點誇大 但因為是可以注入任意程式碼利用這漏洞是有可能跑個把伺服器資料偷出來的程式

應該類似code injection攻擊吧？

支語警察 逼逼

標題其實沒有誇大 這個CVE分數有到最高的10分 執行任意程式碼加上攻擊方式單純 這兩點很重要 還有這好像是zero day攻擊 並不是有人事先通報

這影響範圍也太廣了

今天上班一堆客戶來問這個漏洞

這年頭還有code injection這種老bug可以拿來用喔...

這個嚴重到可以直接在聊天欄執行程式…https://youtu.be/KA5Pyd258kw 一個簡單的概念驗證

沒有誇大，這是java生態系史上最大的漏洞之一只要普通的輸入就能達到remote code execution然後還是一個使用非常廣泛，你沒用到你的server、框架也可能有用到的東西這篇還說幸好已更新，大公司已更新，但是其他人八成還沒這個漏洞兩週前就有人通報給log4j，所以log4j上週5釋出修正但是對全世界用到log4j的來說，就是週5突然爆出的zero day