Apache安全漏洞全球发酵？

后台记录日志功能是大部分系统都会具备的模块，而Log4j2作为一个经典的开源软件，很多开发者在编写程序时都会直接将其集成于代码中，这些新的软件可能又会被别的系统集成在内。经过不断地叠加和嵌套，一旦Log4j2出现安全问题，一整条程序链条上的开源软件和系统都会受到波及，影响覆盖范围非常广泛。

除了Log4j2本身应用范围广外，该漏洞的另一大特征在于利用方式十分简单。据专家介绍，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者得以远程控制受害者用户的服务器，90%以上基于Java开发的应用平台都会受到影响。XX云防护的监测数据显示，截至12月10日中午12点，已发现近1万次利用该漏洞的攻击行为。目前，受到Log4j2漏洞影响和威胁的企业与组织数量仍在持续增长，据火线Apache Log4j2漏洞影响面查询网站统计显示，截至发稿前，该漏洞已影响超6万个开源软件，涉及相关版本软件包32万余个。除企业外，一些政府机构和社会组织由于未及时修补Log4j2漏洞，也成为黑客的攻击目标。据报道，当地时间12月16日，比利时国防部遭到黑客利用该漏洞发起的攻击，比利时国防部长回应称，其安全团队正努力保证网络安全，防止再发生类似事件。尽管在12月8日， Apache官方就已发布Log4j2安全更新，但其影响预计还将持续很长一段时间。当前各大安全厂商已提供了一些自动化检测工具和脚本，现在最重要的是企业和相关单位重视起来，根据国家漏洞库、漏洞平台给出的解决方案，对照自己的产品系统进行检查，及时升级软件版本，就可以避免被黑客利用漏洞进行攻击，“最关键的还是要做好自查和升级。”