概述
????????关注后回复 “进群” ,拉你进程序员交流群????????
来源丨51CTO技术栈
https://mp.weixin.qq.com/s/ksowQzNW009V9J3AHnOIIg
近日,一众开发和维护人员正马不停蹄地开始修补 Log4j2 漏洞,但要真正修复完毕,还有很多工作要做。
最近几天,各家互联网大厂的程序员朋友们,都快被 Log4j2 漏洞折磨疯了,纷纷启动自家软件的漏洞修复。今天早上,阿里云被爆出作为工信部网络安全威胁信息共享合作平台,阿里云在发现该漏洞时并未及时向工信部汇报,所以被暂停合作 6 个月。在暂停期满后,根据阿里云的实际整改情况研究是否恢复合作。
该漏洞最早被爆出是在 12 月 10 日凌晨。12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。
随着漏洞爆出,各家大厂纷纷发布公告,斗鱼、京东、网易、深信服和汽车产业安全应急响应中心皆发文表示,鉴于该漏洞影响范围比较大,业务自查及升级修复需要一定时间,暂不接收 Log4j2 相关的远程代码执行漏洞。
那么这个漏洞到底是什么?怎么会让各大厂连夜整合修复,下场发布公告?为什么波及范围会这么广泛?
1、Log4j 是什么?
Log4j ( Log For Java )是 Java 开源日志框架,它在用 Java 敲代码的码农群体里可以说是无人不知,无人不晓。
众所周知,程序员写完代码之后并不会对代码进行马上使用,而是进行一系列的测试来确定代码是否可行。
但是代码在进行测试的时候是黑盒测试状态,你根本不知道代码在测试的过程中哪里出了问题。所以这个时候,日志的价值就体现出来了,它就好像一张演算稿纸,你可以在上面进行自己能看得懂的标记,方便随时进行检验测算。
而 Log4j ,就是这样一个开源的日志框架,它记录了代码在测试过程中的每一步,在代码测试跑完的时候,就可以有针对性地进行修改,效率也更高。它里面整合了不少在修改代码时会用到的常用功能,比如日志管理、输出变量等实用功能。
事实上,日志是程序员们经常使用的一个工具,就像早年的英雄联盟盒子一样,虽然不用也可以打游戏,但是用了之后我可以更方便地打游戏,所以,为什么不用呢?
2、Log4j2 漏洞是怎么造成的?
Log4j2 是一个开源项目,仅有几个人进行维护。2014 年,Log4j2 发布,它对 Log4j 进行了重大升级,完全重写了 Log4j 的日志实现。Log4j2 提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题,目前已经更新到 2.17.0 版本。
最先发现漏洞的,是阿里云安全团队中一位大佬。据他的说法,这个漏洞很早就被国外的安全代码扫描平台扫出来了,圈内的程序员大佬们也都在等待官方的修复,没有声张。
该漏洞是由 Log4j2 提供的 Lookup 功能造成的。从字面上理解,这个功能就是一个用来搜索内容的接口,Log4j2 也在 Lookup 的功能下,提供了不少实现的途径,问题就出在这个叫 JNDI 的途径上。
JNDI 被 Java 允许通过远程连接的方式来加载文件,这个远程地址可以是开发者自己的服务器,也可以是外界的服务器。黑客只要通过 JNDI 的方法连接上自己的恶意服务器,就可以堂而皇之从这个接口进来,进而在程序内部为所欲为。
最可怕的地方在于实现起来没什么门槛,只要用一串简单的字符,就能轻易攻破服务器,并在上面运行各种代码。这别说是窃取个人信息了,黑客想要远程挟持、瘫痪企业级的服务器,那也是毫无阻碍。
这个漏洞有多夸张?不仅包括了阿里、腾讯、百度、网易、新浪等一众国内的互联网大厂纷纷中枪,就连手机,耳机,汽车等硬件都有可能中招……
对于这次漏洞,有网友评价说道,“可以说是灾难性的漏洞,比之前的 fastjson 和 shiro 还要严重,这个漏洞估计在之后三四年内还会继续存在…”
3、紧急修复方案
针对此次漏洞,给大家分享一些网上的紧急方案:
紧急缓解措施
(1)修改 jvm 参数
-DLog4j2.formatMsgNoLookups=true
(2)修改配置 Log4j2.formatMsgNoLookups=True
(3)将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
建立防火墙
目前,大部分公司的应急方案是建立防火墙。在 Log4j2 做一个触发式的拦截程序,把与漏洞相关内容,提前进行阻拦。
版本更新
检查所有使用了 Log4j2 组件的系统,并且进行更新修复。官方目前对漏洞进行了积极修复,版本更新到 2.17。
4、结语
由于 Log4j2 漏洞不仅影响 Java 应用程序,还影响使用该功能的任何服务,所以该漏洞的影响范围非常的广泛。虽然维护人员正在评估该漏洞的危害范围,但是由于该插件非常受欢迎,被数百万企业应用程序和服务所使用,所以目前无法对影响范围做出具体的评估。
每个人都知道安全的重要性,安全本身并不是一个能够创造价值的功能,反而更像是需要消耗价值以确保功能稳定的功能。网络攻击成功的可能性以及潜在损失的程度是难以预估的,虽然好多人正在通过漏洞修补方式来解决问题,但该漏洞带来的影响可能会持续三四年之久。
-End-
最近有一些小伙伴,让我帮忙找一些 面试题 资料,于是我翻遍了收藏的 5T 资料后,汇总整理出来,可以说是程序员面试必备!所有资料都整理到网盘了,欢迎下载!
点击????卡片,关注后回复【面试题
】即可获取
在看点这里好文分享给更多人↓↓
最后
以上就是顺利凉面为你收集整理的阿里云因发现Log4j2漏洞未及时上报,被工信部处罚!的全部内容,希望文章能够帮你解决阿里云因发现Log4j2漏洞未及时上报,被工信部处罚!所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复