Teku是由区块链软件公司ConsenSys设计的以太坊2.0完整客户端。 Teku推特今(10)日发布的推文表示,官方称因为在Teku所使用的log4j(log for java)中发布到一个零时差漏洞(zero-day vulnerability),所以紧急发布更新版本,并呼吁所有用户都应立即升级:紧急安全更新,Teku在使用的应用程式log4j,被发现发布了一个零时差漏洞。虽然不认为Teku具安全漏洞,但我们还是发布了21.12.1版本来确保安全性。所有用户都应立即升级或手动更新。
何为零时差漏洞
所谓的零时差漏洞或零日漏洞(0-Day Vulnerability)是指软硬件在设计当中已经被公开揭露,但在被厂商修补漏洞与错误立即被恶意利用。
影响与修补方法
据Teku在Github上的文章表示,log4j:一个Teku常用的日志库,被指出发布了一个零时差漏洞。
官方表示,虽然Teku确实有包含到log4j受影响的版本,但在此阶段,以我们使用日志库的方式,我们不认为Teku本身是具安全漏洞的。不过,出于谨慎考虑,我们还是紧急发布了21.12.1版本的补丁,以确保安全性。
官方也提及,log4j的漏洞将可允许远端执行原始码,骇客便可通过此验证器访问受害者的签名私钥。
通过Teku21.12.1补丁,将包含log4j的更新版本与配置,以确保此漏洞也不再存在。官方最后也提及,经多方验证,Apache Struts 2、Apache Druid、Apache Solr、Apache Flink等均受影响。建议交易所、钱包与DeFi项目方抓紧时间,自我检查是否有涉及漏洞的安全疑虑,并尽快升级为新版本。