日志框架爆漏洞，iCloud、Minecraft、Steam 等云端服务密码全受影响
https://chinese.engadget.com/log4shell-vulnerability-log4j-054246291.html
深泛应用到不同网络服务，包括 Apple iCloud、Steam、Minecraft、Amazon、Twitter、
Minecraft 等的开源日志框架 Log4j，被发现存有名为 Log4Shell 漏洞，导致相关服务
的密码数据都有外泄的可能。据 The Verge 的报导，日志框架 Log4j 的作用是用以记录
app 和服务发生过的所有事件，以便开发者可以分析效能，同时可以用来除错。
据 Ars Technika 的说法，首个公布发现了这个 Log4Shell 漏洞的是 Minecraft，他们
表示这漏洞会让骇客可以在游戏里执行恶意程式。然而在这个发现之后不久，曾经阻止
WannaCry 散播的安全研究员 Marcus Hutchins，就表示这个 Log4Shell 有着极高严重
性，因为有上百万个不同 app 都有使用 Log4j 框架。
具体来说，Log4Shell 漏洞可让骇客在目标服务的服务器中执行恶意程序并下载数据，而
且执行的方法非常简单，只需要在服务里留言就可以触发动作。以 Minecraft 为例，
Hutchins 表示只需要在留言区中张贴讯息就可以了。至于要在 Apple 服务器中触发漏洞
，app 安全研究公司 LunaSec 表示更是简单得只要更改 iPhone 名称就可以。
幸好的是 Log4j 已经修复问题，而受影响的服务，包括 Minecraft 和 Cloudflare 也个
别有补丁来保护使用者。还有其他在使用 Log4j 框架的服务，也请各自的开发者尽快更
新。
====
之前麦块那发现的问题影响这么大哦！多数云端服务都有影响？

标题是有点夸大 但因为是可以注入任意程式码利用这漏洞是有可能跑个把服务器资料偷出来的程式

应该类似code injection攻击吧？

支语警察 逼逼

标题其实没有夸大 这个CVE分数有到最高的10分 执行任意程式码加上攻击方式单纯 这两点很重要 还有这好像是zero day攻击 并不是有人事先通报

这影响范围也太广了

今天上班一堆客户来问这个漏洞

这年头还有code injection这种老bug可以拿来用喔...

这个严重到可以直接在聊天栏执行程式…https://youtu.be/KA5Pyd258kw 一个简单的概念验证

没有夸大，这是java生态系史上最大的漏洞之一只要普通的输入就能达到remote code execution然后还是一个使用非常广泛，你没用到你的server、框架也可能有用到的东西这篇还说幸好已更新，大公司已更新，但是其他人八成还没这个漏洞两周前就有人通报给log4j，所以log4j上周5释出修正但是对全世界用到log4j的来说，就是周5突然爆出的zero day