Log4Shell攻击如何影响最终用户？

Question

我不是安全项目和漏洞方面的专家，所以我想知道最近的Log4Shell漏洞如何影响到我作为最终用户。

通过阅读新闻，该漏洞可能会影响"Twitter“、"Apple”等。等服务。但作为最终用户，这对我意味着什么？当我访问苹果网站或Twitter网站时，有人能在我的机器上运行代码吗？我是否可以避免任何不访问这些网站和服务的问题？不然我怎么会受影响呢？

Answer 1

该bug与用Java编写的应用程序相关，这些应用程序使用log4j库记录来自不受信任来源(比如来自攻击者)的信息。该bug可能导致使用Java应用程序的权限执行代码。

对于Twitter和Apple，这是关于服务器端运行的后端，而不是客户端应用程序。这不会影响访问网站的客户。但也会影响一些客户端应用程序，如Min克拉夫特。

您所引用的链接主要包括可能受影响站点的图片。要获得更详细的信息，请参见例如无处不在的Log4j工具Zeroday对互联网构成了严重威胁。

Answer 2

通过对“受影响”的广泛处理，这个CVE理论上允许某人在易受攻击的主机上运行任意代码。这意味着，在正确的条件下，您放置在远程服务器上的信息可以被未经授权的第三方访问。一个简单的例子可能是有人利用此漏洞从服务中提取密码或其他秘密，但您的想象力是有限的。

虽然Twitter、Apple等大型服务表面上可能容易受到影响，但在发出DNS请求(如链接中所示)和造成真正的破坏之间仍有许多步骤。例如出站防火墙规则可以允许DNS，但可以阻止其他协议。最终，我们需要拭目以待，逐项服务，看看他们对这种漏洞的体验是什么。

当我访问苹果网站或Twitter网站时，有人能在我的机器上运行代码吗？我是否可以避免任何不访问这些网站和服务的问题？

不一定，但攻击者在理论上可以改变网站的行为，从而改变浏览器/应用程序中的行为。当然，理论上说，限制您对这些站点的使用可以降低风险/降低攻击者随时可以访问您的数据的可能性。尽管如此，我们没有理由相信像这些例子那样庞大的服务没有其他应急措施。