2024-08-16 19:31:15

零时差漏洞 以太坊2.0客户端Teku呼吁用户紧急安装更新版本

摘要
以太坊2.0客户端Teku今日发推文,紧急通知在Teku使用的Java日志软件log4j中发现了一个零时差漏洞,呼吁所有用户都应尽早下载更新版本,以避免在安全性上受到损害。不过,官方也表示,以我们使用log4j的方式,本身不认为Teku是具安全漏洞的,官方仍是发布了21.12.1版本以确保安全性。

零时差漏洞 以太坊2.0客户端Teku呼吁用户紧急安装更新版本

Teku是由区块链软件公司ConsenSys设计的以太坊2.0完整客户端。 Teku推特今(10)日发布的推文表示,官方称因为在Teku所使用的log4j(log for java)中发布到一个零时差漏洞(zero-day vulnerability),所以紧急发布更新版本,并呼吁所有用户都应立即升级:紧急安全更新,Teku在使用的应用程式log4j,被发现发布了一个零时差漏洞。虽然不认为Teku具安全漏洞,但我们还是发布了21.12.1版本来确保安全性。所有用户都应立即升级或手动更新。

何为零时差漏洞

所谓的零时差漏洞或零日漏洞(0-Day Vulnerability)是指软硬件在设计当中已经被公开揭露,但在被厂商修补漏洞与错误立即被恶意利用。

影响与修补方法

据Teku在Github上的文章表示,log4j:一个Teku常用的日志库,被指出发布了一个零时差漏洞。

官方表示,虽然Teku确实有包含到log4j受影响的版本,但在此阶段,以我们使用日志库的方式,我们不认为Teku本身是具安全漏洞的。不过,出于谨慎考虑,我们还是紧急发布了21.12.1版本的补丁,以确保安全性。

官方也提及,log4j的漏洞将可允许远端执行原始码,骇客便可通过此验证器访问受害者的签名私钥。

通过Teku21.12.1补丁,将包含log4j的更新版本与配置,以确保此漏洞也不再存在。官方最后也提及,经多方验证,Apache Struts 2、Apache Druid、Apache Solr、Apache Flink等均受影响。建议交易所、钱包与DeFi项目方抓紧时间,自我检查是否有涉及漏洞的安全疑虑,并尽快升级为新版本。

声明:文章不代表币圈网观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险自担!转载请注明出处!侵权必究!
回顶部