Teku是由區塊鏈軟體公司ConsenSys設計的以太坊2.0完整客戶端。 Teku推特今(10)日釋出的推文表示,官方稱因為在Teku所使用的log4j(log for java)中釋出到一個零時差漏洞(zero-day vulnerability),所以緊急釋出更新版本,並呼籲所有使用者都應立即升級:緊急安全更新,Teku在使用的應用程式log4j,被發現釋出了一個零時差漏洞。雖然不認為Teku具安全漏洞,但我們還是釋出了21.12.1版本來確保安全性。所有使用者都應立即升級或手動更新。
何為零時差漏洞
所謂的零時差漏洞或零日漏洞(0-Day Vulnerability)是指軟硬體在設計當中已經被公開揭露,但在被廠商修補漏洞與錯誤立即被惡意利用。
影響與修補方法
據Teku在Github上的文章表示,log4j:一個Teku常用的日誌庫,被指出釋出了一個零時差漏洞。
官方表示,雖然Teku確實有包含到log4j受影響的版本,但在此階段,以我們使用日誌庫的方式,我們不認為Teku本身是具安全漏洞的。不過,出於謹慎考慮,我們還是緊急釋出了21.12.1版本的補丁,以確保安全性。
官方也提及,log4j的漏洞將可允許遠端執行原始碼,駭客便可透過此驗證器訪問受害者的簽名私鑰。
透過Teku21.12.1補丁,將包含log4j的更新版本與配置,以確保此漏洞也不再存在。官方最後也提及,經多方驗證,Apache Struts 2、Apache Druid、Apache Solr、Apache Flink等均受影響。建議交易所、錢包與DeFi專案方抓緊時間,自我檢查是否有涉及漏洞的安全疑慮,並儘快升級為新版本。
