以太坊 2.0 客戶端 Teku 今日發推文,緊急通知在 Teku使用的 Java 日誌軟體 log4j 中發布了一個零時差漏洞,呼籲所有用戶都應儘早下載更新版本,以避免在安全性上受到損害。不過,官方也表示,以我們使用 log4j 的方式,本身不認為 Teku 是具安全漏洞的,官方仍是發布了 21.12.1 版本以確保安全性。
(背景補充:以太坊基金會撰文: 2.0合併後應用層5大改變;重組攻擊需銷毀總質押1/3ETH )
Teku 是由區塊鏈軟體公司 ConsenSys 設計的以太坊 2.0 完整客戶端 。Teku 推特今(10)日發布的推文表示,官方稱因為在 Teku 所使用的 log4j(log for java)中發布到一個零時差漏洞(zero-day vulnerability),所以緊急發布更新版本,並呼籲所有用戶都應立即升級:
緊急安全更新
Teku 在使用的應用程式 log4j,被發現發布了一個零時差漏洞。
雖然不認為 Teku 具安全漏洞,但我們還是發布了 21.12.1 版本來確保安全性。
所有用戶都應立即升級或手動更新。
緊急安全更新 🚨URGENT SECURITY UPDATE🚨
A zero-day vulnerability has been published in log4j, which is used by Teku.Teku is not believed to be vulnerable but 21.12.1 has been released to be sure.
All users should upgrade immediately or manually mitigate.More info: https://t.co/gD0WwL0dNe
— Teku (@Teku_ConsenSys) December 10, 2021
何為零時差漏洞?
所謂的零時差漏洞或零日漏洞(0-Day Vulnerability)是指軟硬體在設計當中已經被公開揭露,但在被廠商修補漏洞與錯誤立即被惡意利用。
影響與修補方法
據 Teku 在 Github 上的文章表示,log4j: 一個 Teku 常用的日誌庫,被指出發布了一個零時差漏洞。
官方表示,雖然 Teku 確實有包含到 log4j 受影響的版本,但在此階段,以我們使用日誌庫的方式,我們不認為 Teku 本身是具安全漏洞的。不過,出於謹慎考慮,我們還是緊急發布了 21.12.1 版本的補丁,以確保安全性。
官方也提及,log4j 的漏洞將可允許遠端執行原始碼,駭客便可透過此驗證器訪問受害者的簽名私鑰。
透過 Teku 21.12.1 補丁,將包含 log4j 的更新版本與配置,以確保此漏洞也不再存在。官方最後也提及,經多方驗證,Apache Struts2、Apache Druid、Apache Solr、Apache Flink 等均受影響。建議交易所、錢包與 DeFi 項目方抓緊時間,自我檢查是否有涉及漏洞的安全疑慮,並盡快升級為新版本。
