“阿帕奇”Log4j2来袭,监控易为何能平安无恙?
12月10日半夜,一众互联网公司技术核心人员都被CTO们电话Call醒,半夜汇聚网络世界,集体排查处理线上程序BUG——Apache(阿帕奇) Log4j2 安全漏洞。这个BUG太严重破坏力极强,互联网上曝出了 Apache Log4j2 中的远程代码执行漏洞,攻击者就可利用此漏洞构造特殊的数据请求包,最终触发远程代码执行。
12月11日一大早,一个个客户电话打进美信科技的客服热线,询问监控易产品是否有Log4j2漏洞。当听到“不会受到波及和影响”时,电话另一头都舒了口气。“美信科技的产品为什么没受到 Log4j2 漏洞攻击?美信科技的监控易如果使用第三方插件时,会不会引发所带来的安全隐患?”小编也发出心底疑问。
对此,美信客服的回答是肯定的,完全不用担心这些问题。“美信科技的产品采用纯C语言、python语言和C++语言自主设计开发。所以,不会受到基于Java语言应用的Apache(阿帕奇) Log4j2 远程代码执行漏洞攻击。美信科技监控易等一系列产品从底层开始所使用的框架、消息中间件、数据库、WebServer都是自主研发,不借助于第三方任何插件,从而避免使用第三方插件所带来的安全隐患。美信科技将时刻为保障客户的基础设施稳定和数据安全隐私保驾护航。”
”
“阿帕奇”来袭,“核弹级”系统漏洞波及各大厂
由于漏洞利用门槛不高、Log4j 应用范围广,所以这次 Log4j 漏洞事件引发的安全影响十分深远。一位业内人士这样戏称,这个漏洞的严重性堪称今年之最,灾难等级为核弹级。这次事件几乎波及了所有互联网大厂。
绝大部分的Java应用用的都是Log4j的包记录日志,而众多互联网公司用的是Log4j2,据“白帽”分析确认,几乎所有技术巨头都是该 Log4j 远程代码执行漏洞的受害者。据 Apache 官方最新信息显示,由于 Apache Log4j2 的某些函数具有递归分析函数,因此攻击者可以直接构造恶意请求来触发远程代码执行漏洞。
根据谷歌安全团队的统计,截至 2021 年 12 月 16 日,来自 Maven Central 的 35,863 个可用 Java 组件依赖于 Log4j。比利时国防部成为这次事件中首次公开披露的受害者。比利时国防部发言人 Olivier Séverin 表示,不法分子利用 Log4j 漏洞攻击了比利时国防部。“一些活动已经瘫痪了好几天”。
Log4j 漏洞在国内影响也很深远。据媒体报道,近期工信部网络安全管理局通报称,阿里云计算有限公司在 11 月 24 日发现了 Log4j2 安全漏洞隐患后率先向 Apache(阿帕奇) 基金会披露了该漏洞,未及时向中国工信部通报相关信息,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位 6 个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。根据工信部官网消息,工业和信息化部网络安全威胁和漏洞信息共享平台 12 月 9 日收到有关网络安全专业机构报告后,立即组织有关网络安全专业机构开展漏洞风险分析。
文章插图
(来源:工信部官网截图)
虽然已经过去了十多天,但 Log4j 中暴露出的安全漏洞仍在肆虐,同时也唤起了大家对于开源软件开发、付费与维护方式的深切思考。
有人抨击项目维护者未能及时发现问题。面对这样的指责,开发者 Volkan Yazici 立即对这种践踏无偿志愿劳动的行径展开反击,表示这群“嘴炮”自己压根没提供过任何财务支持或者代码贡献。
推荐阅读
- 阿里巴巴|马云“接班人”是啥来头第一天上任,阿里巴巴损失517亿!
- 电商|俞敏洪或要“转型”?在电商平台做起直播带货,是有何打算?
- 亚马逊|告别“好评返现”,商家侧的“晒单有礼”还有意义吗
- 上门|快递上门的“蜀道难”
- 低俗词汇|B站发布“低俗词汇谐音梗”治理公告,多次违规将被封号
- 工地|“小马云”已不火,如今“工地马云”火了,网友:确定不是本人?
- 景气度|2022,七“贱”下天山
- 劳动者|这些工作将实行“职称制”!官方发通知,新的“香饽饽”行业来了
- 网易养不起“考拉”,阿里拼多多急剁手,网友丁磊全职养猪
- 阿里巴巴|曾是阿里高管,遭马云“忽视”创办410亿公司,却进腾讯口袋