2024-08-16 19:31:15

零时差漏洞以太坊2.0客户端Teku呼吁用户紧急安装更新版本

摘要

以太坊2.0客户端Teku今日发推文，紧急通知在Teku使用的Java日志软件log4j中发现了一个零时差漏洞，呼吁所有用户都应尽早下载更新版本，以避免在安全性上受到损害。不过，官方也表示，以我们使用log4j的方式，本身不认为Teku是具安全漏洞的，官方仍是发布了21.12.1版本以确保安全性。

Teku是由区块链软件公司ConsenSys设计的以太坊2.0完整客户端。 Teku推特今(10)日发布的推文表示，官方称因为在Teku所使用的log4j(log for java)中发布到一个零时差漏洞(zero-day vulnerability)，所以紧急发布更新版本，并呼吁所有用户都应立即升级：紧急安全更新，Teku在使用的应用程式log4j，被发现发布了一个零时差漏洞。虽然不认为Teku具安全漏洞，但我们还是发布了21.12.1版本来确保安全性。所有用户都应立即升级或手动更新。

何为零时差漏洞

所谓的零时差漏洞或零日漏洞(0-Day Vulnerability)是指软硬件在设计当中已经被公开揭露，但在被厂商修补漏洞与错误立即被恶意利用。

影响与修补方法

据Teku在Github上的文章表示，log4j：一个Teku常用的日志库，被指出发布了一个零时差漏洞。

官方表示，虽然Teku确实有包含到log4j受影响的版本，但在此阶段，以我们使用日志库的方式，我们不认为Teku本身是具安全漏洞的。不过，出于谨慎考虑，我们还是紧急发布了21.12.1版本的补丁，以确保安全性。

官方也提及，log4j的漏洞将可允许远端执行原始码，骇客便可通过此验证器访问受害者的签名私钥。

通过Teku21.12.1补丁，将包含log4j的更新版本与配置，以确保此漏洞也不再存在。官方最后也提及，经多方验证，Apache Struts 2、Apache Druid、Apache Solr、Apache Flink等均受影响。建议交易所、钱包与DeFi项目方抓紧时间，自我检查是否有涉及漏洞的安全疑虑，并尽快升级为新版本。