Connect with us

財經

以太坊 2.0客戶端 Teku 又出漏洞?緊急更新版本

Teku 是由區塊鏈軟體公司 ConsenSys 設計的以太坊 2.0 完整客戶端 。Teku 推特 12 月 10 日發布的推文表示,官方稱因為在 Teku 所使用的 log4j(log for java)中發布到一個零時差漏洞(zero-day vulnerability)

發表於

日期:

緊貼世界各地區塊鏈社群最新資訊,追蹤 Coindaily 社交平台!

加入 TG 頻道: https://t.me/coindaily_official
Facebook:https://www.facebook.com/CoinDaily_official
Instagram:https://www.instagram.com/coindaily.official

Teku 是由區塊鏈軟體公司 ConsenSys 設計的以太坊 2.0 完整客戶端 。Teku 推特 12 月 10 日發布的推文表示,官方稱因為在 Teku 所使用的 log4j(log for java)中發布到一個零時差漏洞(zero-day vulnerability),所以緊急發布更新版本,並呼籲所有用戶都應立即升級:

「 緊急安全更新

Teku 在使用的應用程式 log4j,被發現發布了一個零時差漏洞。

雖然不認為 Teku 具安全漏洞,但我們還是發布了 21.12.1 版本來確保安全性。

所有用戶都應立即升級或手動更新。」

何為零時差漏洞?

所謂的零時差漏洞或零日漏洞(0-Day Vulnerability)是指軟硬體在設計當中已經被公開揭露,但在被廠商修補漏洞與錯誤立即被惡意利用。

影響與修補方法

據 Teku 在 Github 上的文章表示,log4j:

「 一個 Teku 常用的日誌庫,被指出發布了一個零時差漏洞。」

官方表示,雖然 Teku 確實有包含到 log4j 受影響的版本,但在此階段,以我們使用日誌庫的方式,我們不認為 Teku 本身是具安全漏洞的。不過,出於謹慎考慮,我們還是緊急發布了 21.12.1 版本的補丁,以確保安全性。

官方也提及,log4j 的漏洞將可允許遠端執行原始碼,駭客便可透過此驗證器訪問受害者的簽名私鑰。

Teku 21.12.1 補丁,將包含 log4j 的更新版本與配置,以確保此漏洞也不再存在。官方最後也提及,經多方驗證,Apache Struts2、Apache Druid、Apache Solr、Apache Flink 等均受影響。

建議交易所、錢包與 DeFi 項目方抓緊時間,自我檢查是否有涉及漏洞的安全疑慮,並盡快升級為新版本。