Apache Log4j漏洞已经影响地表上多数知名网站,甚至也可能影响到火星上。因为美国太空总局(NASA)用以探索火星的机智号(Ingenuity)直升机也使用了这项软件。
The Register报道,今年6月Apache基金会宣布机智号直升机使用了Log4j。不过这则推文现已被删除。
但在本月初机智号出任务时却发生问题。机智号与地面探勘车毅力号(Perseverance)在12月5日的第17次火星探勘任务中,机智号飞行结束前资料传输发生不预期中断。毅力号负责提供机智号与地球控制中心的通信基站,以便将机智号收到的火星图片传回给地球。通过毅力号随后传回的资料,NASA指出机智号系统正常,但是提供的信息太少,使NASA无法宣布任务圆满成功。
机智号事件和Log4j 2漏洞是否有关不得而知。
所幸机智号健康情况良好。本月初这架直升机在火星以每秒5米的速度,离火星表面12米处飞行3,592米,全程历时30分钟48秒。
上周Apache公布的Log4j 2 RCE漏洞(又称Log4Shell)影响Amazon、Google Cloud、微软、游戏平台Steam及推特等网络服务及众多软件。安全厂商已经侦测到该漏洞有黑客试图扫描不幸的受害者,以植入僵尸网络程序、勒索软件、挖矿软件、木马程序等,并且已有国家支持的黑客组织开始行动。
微软证实由第三方厂商托管的Minecraft平台,已经遭人开采感染勒索软件Khonsari。
安全厂商并发现上周的Log4j 2.15.0版修补不全,而且还有至少1个以上的新漏洞可引发拒绝服务(Denial of Service,DoS)攻击及信息外泄。新漏洞被列为CVE-2021-45046。安全厂商呼吁企业用户应立刻升级到周一发布的2.16.0版。