阿里巴巴|“计算机史上最大漏洞”砸中了阿里云( 二 )


另一位开源行业从业者也无奈表示 , 谁也想不到那么基础 , 用的那么多的一个库会有这么严重的漏洞 。
相关文件指出:“该漏洞可能导致设备远程控制 , 可能导致敏感信息被盗、设备服务中断等严重危害 。 这是一个高风险的漏洞” 。
通俗来讲 , 这个漏洞允许网络犯罪分子未经许可在系统上运行恶意代码 , 然后接管组织的整个服务器 , 也相当于我们把自己家的钥匙给了路人 。
在微软此前对该漏洞也发出了警告 , 它指出 Log4j2的双管齐下问题是一个缺陷 , 其中包括轻松利用其漏洞的能力以及基于它构建的产品数量 。 Apache Log4j2是当前使用的最流行的Java 日志库之一 。
具体来说 , 日志库用于为开发人员提供有关服务和产品的附加信息 , 让他们控制在应用程序执行期间或用户登录特定服务或设备的错误报告或功能问题时收集的数据量 。
使用日志库时 , 开发人员可以深入了解或收集有关设备的信息 , 包括 CPU 类型、GPU 型号、驱动程序版本、系统内存等 。
对于这个漏洞的影响 , 如果用一个比喻来形容 , 可以说是软件行业的“新冠病毒” 。
据网络安全公司Check Point称 , 迄今为止 , Log4j在GitHub项目的下载量已超过400000次 。 更糟糕的是 , 它被全球多数的流行公司使用 , 其中不仅包括微软 , 还包括Twitter、苹果、亚马逊、百度、网易等 。
我们知道 , 开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可能像一个新冠病毒一样快速传播 , 对全球的数字化产业带来无法估量的影响 。 而这种影响的持续时间可能是3~5年 , 甚至更长 。
与此同时 , 由于Log4j属于开源软件 , 所以关于开源软件安全性这种老生常谈的话题又被摆在了明面上 。
不过大部分人认为 , “所有软件 , 无论是开源的还是闭源的 , 都存在潜在的网络安全漏洞 。 我们现在才知道如何将检测和修复 。 而开源安全基金会的项目都是有小团队进行维护的 , 并得到了技术供应商的强力支持 。 ”
值得庆幸的是 , 这个漏洞虽然很大 , 但一般来讲要执行命令 , 还会有其他验证 。 也正是如此 , 现在还没有造成巨大损失的案例出现 。
但也有专业人士指出:“在未来几周和几个月内 , 该漏洞引发勒索软件攻击的可能性“非常高” , 这只是时间问题 。 ”
一个值得注意的事实是 , 当前市面上已经出现了两个针对 Log4j漏洞的勒索软件 , 其中一个更是早期主要针对中国 , 现在已将范围扩大到了美国和欧洲 。
有高级安全研究员表示:“中国的系统以及一些托管在美国和欧洲多个站点的亚马逊和谷歌云服务中的系统都成为了目标 。 ”
另外 , 业界普遍认为该漏洞并不难修补 , 到目前为止 , Apache 已经发布了一个修复程序 , 该修复程序应该涵盖所有受影响的日志包版本 。
“软件是一版一版的发布 , 出问题的是老版本 , 新版已经改掉了 , 所以只要把之前引用的老版改成新的就可以了。 ”上述程序员朋友谈到 。
【阿里巴巴|“计算机史上最大漏洞”砸中了阿里云】不幸的是 , 每家公司都以不同的方式实施Log4j , 而且他们应用修复的速度仍然可能使数百万客户的数据暴露 。