以太坊 2.0客戶端 Teku 又出漏洞？緊急更新版本

緊貼世界各地區塊鏈社群最新資訊，追蹤 Coindaily 社交平台！

加入 TG 頻道： https://t.me/coindaily_official
Facebook：https://www.facebook.com/CoinDaily_official
Instagram：https://www.instagram.com/coindaily.official

Teku 是由區塊鏈軟體公司 ConsenSys 設計的以太坊 2.0 完整客戶端 。Teku 推特 12 月 10 日發布的推文表示，官方稱因為在 Teku 所使用的 log4j（log for java）中發布到一個零時差漏洞（zero-day vulnerability），所以緊急發布更新版本，並呼籲所有用戶都應立即升級：

「 緊急安全更新

Teku 在使用的應用程式 log4j，被發現發布了一個零時差漏洞。

雖然不認為 Teku 具安全漏洞，但我們還是發布了 21.12.1 版本來確保安全性。

所有用戶都應立即升級或手動更新。」

何為零時差漏洞？

所謂的零時差漏洞或零日漏洞（0-Day Vulnerability）是指軟硬體在設計當中已經被公開揭露，但在被廠商修補漏洞與錯誤立即被惡意利用。

影響與修補方法

據 Teku 在 Github 上的文章表示，log4j：

「 一個 Teku 常用的日誌庫，被指出發布了一個零時差漏洞。」

官方表示，雖然 Teku 確實有包含到 log4j 受影響的版本，但在此階段，以我們使用日誌庫的方式，我們不認為 Teku 本身是具安全漏洞的。不過，出於謹慎考慮，我們還是緊急發布了 21.12.1 版本的補丁，以確保安全性。

官方也提及，log4j 的漏洞將可允許遠端執行原始碼，駭客便可透過此驗證器訪問受害者的簽名私鑰。

Teku 21.12.1 補丁，將包含 log4j 的更新版本與配置，以確保此漏洞也不再存在。官方最後也提及，經多方驗證，Apache Struts2、Apache Druid、Apache Solr、Apache Flink 等均受影響。

建議交易所、錢包與 DeFi 項目方抓緊時間，自我檢查是否有涉及漏洞的安全疑慮，並盡快升級為新版本。