原副标题:Log4j 安全可靠漏洞已被曝两年,曾主宰 Java 界看球上工,现如今仍到处隐匿……
重新整理 | 郑丽媛
公司出品 | CSDN(ID:CSDNnews)
翻阅DIVX的贴文,坚信许多 Java 开发人员又能回想到,今年被 Log4j 安全可靠漏洞主宰的两周:有边喝茶边修 Bug 的、有半夜看球短果的、除了周日一表弟就被抓去上工的…
彼时,著名信息安全可靠软件系统服务商 Check Point 曾预估, 虽然 Log4j 应用领域覆盖范围极广,该安全可靠漏洞很可能将在今后一两年内也将始终存有 ——现如今直言,是一语成谶了。
据彭博社 Wired 报导,在 Log4j 安全可靠漏洞暴发两年后,现如今从 Apache 深外 Maven Central 和其它深外伺服器浏览的 Log4j 模块中,仍有少于四分之三是不安全可靠的Log4j 版。
两年前的“叙事诗级”、“核子武器级”狂蛛属安全可靠漏洞
每年,安全可靠研究人员都能发现许多亟待解决的关键安全可靠漏洞,而 Log4j 安全可靠漏洞能被称作“叙事诗级”安全可靠漏洞,证明它并不寻常。
作为一款全球著名的开源 Java 日志框架,Log4j 被大量主流开源框架采用,包括但不限于 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等,几乎应用领域于整个互联网行业的“半壁江山”——当然,这都是在 Log4j 安全可靠漏洞暴发后,人们才知道的。
受安全可靠漏洞影响的主要是 Log4j 2.14.1 及以下版,即当用户使用这些版来处理日志时,安全可靠漏洞会对用户输入的内容进行特殊处理,攻击者可在 Log4j 中构造特殊请求来触发远程代码执行,包括安装恶意软件或发起其它数字攻击。
安全可靠漏洞暴发后,伺服器业务(Steam、iCloud、Minecraft 等)被严重影响,《我的世界》一度有数十万用户被入侵,阿里云、斗象科技、绿盟科技、默安科技、奇安信等众多安全可靠厂商迅速发布危害通报,Check Point 更是统计得出,近安全可靠漏洞暴发的前 4 天,全球就有近一半企业因此受到了黑客的试图攻击。
诚如前 Log4j 开发者、现 Apache 软件基金会副总裁 Christian Grobmeier 彼时所说:“苹果被波及、Twitter 也受到了影响,然后我才意识到居然有这么多人在使用它:基本上是半个世界,甚至更多,这太疯狂了。”
在安全可靠漏洞被发现之前,没有人料想到,这么一个基于 Java 的日志框架,影响覆盖范围竟如此之广——虽然触发简单、攻击难度低、影响人群广泛,Log4j 安全可靠漏洞也被业内称为“叙事诗级”、“核子武器级”狂蛛属安全可靠漏洞。
两年过后,Log4j 安全可靠漏洞依然隐匿在各个地方
值得庆幸的是,因为这个安全可靠漏洞的严重程度,也引起了多方关注:Apache 方面迅速发布了 Log4j 安全可靠漏洞补丁,开发人员群体也火速展开了一场修复计算机系统的全球“竞赛”——在大多消费者没有受到影响的背后,是他们在背后夜以继日地紧急修复,与攻击者拼速度。
Apache 软件基金会主席 David Nalley 赞叹道:“在短时间内,我们就进行了修复,这真的很棒。”不过 David Nalley 指出,这个夸赞可能将仅限于安全可靠漏洞暴发的初期,并不适用于两年后的现如今:“我很想说我们完美地处理了它,但现实并非如此。”
距离 Log4j 安全可靠漏洞暴发,已经过去了两年,而它依然隐匿在各个地方,有的是始终存有还未修复,有的是新浏览的 Log4j 仍是有安全可靠漏洞的版。
始终未修复开发人员在修复安全可靠漏洞时,自然会优先处理影响最大、最为严重的部分。相比之下,那些不那么严重的就先暂且搁置,总想着等日后有时间了再慢慢迭代。但现实情况是,对于大多数开发人员来说,这个“有时间了”的情况并不容易等到。
再者,很多情况下进行安全可靠漏洞修复,公司也需要付出许多成本,因此在情况可控且无伤大雅的情况下,这一部分的安全可靠漏洞修复工作也是能拖则拖。
除此之外,开源软件供应链也是一个重要原因。David Nalley 表示:“通过浏览量,我们知道 Log4j 被广泛部署,但依旧很难完全掌握,因为它是开源的。”很多情况下,一个组织或企业购买或部署软件时,并不清楚其中具体包含了哪些其它模块,所以也很难意识到 Log4j 安全可靠漏洞的存在及其修复的紧迫性。
仍浏览有安全可靠漏洞的 Log4j 版这一情况可能将与 Apache 当初发布的多个安全可靠漏洞补丁有所关联。彼时,Apache 针对安全可靠漏洞紧急发布了 Log4j 2.15,该版默认禁用了部分容易被黑客利用的 Java 库主要功能,但很快便被攻击者破解,迫使 Apache 又发布了多个迭代版,给开发者造成了一定混乱。
如开头所说,从 Apache 深外 Maven Central 和其它资源库伺服器浏览的 Log4j 模块中,仍有少于四分之三(25%)是不安全可靠的 Log4j 版。
对于这个数据,软件供应链公司 Sonatype 的联合创始人兼首席技术官 Brian Fox 分析:“当人们选择不安全可靠的开源软件模块时,大多数情况下都已经有一个可用的修复补丁了。我真的很震惊这个数字,唯一的解释只能是人们真的不了解他们的软件里到底有什么。”
“ Log4j 安全可靠漏洞将会是今后十年引发数据泄露事件的一个根本原因”
基于以上的各种原因,现在很可能将出现的一种情况是:开发人员在积极地构建和维护系统或软件,但不论他们再怎么努力,只要 Log4j 安全可靠漏洞还在,攻击者便能轻而易举地入侵。
对此,软件供应链安全可靠公司 Chainguard 的首席执行官 Dan Lorenc 预估:“Log4j 安全可靠漏洞将会是今后十年引发数据泄露事件的一个根本原因——毕竟之前只要用一个 Log4j 模块就会有安全可靠漏洞。”
同时,研究人员也发出警告:“Log4j 安全可靠漏洞仍存有于全球很多系统中,而攻击者早晚会成功利用到它。”因此,虽然 Log4j 安全可靠漏洞的暴发已过去两年,建议开发者可排查在 Java 应用领域中是否引入了 Log4j 模块,若存有则立即进行安全可靠排查并升级至安全可靠版。
参考链接:https://www.wired.com/story/log4j-log4shell-one-year-later/
☞《魔兽世界》国服团队正与新合作方洽谈;爆苹果将允许第三方应用领域商店替代 App Store;Vite 4.0发布|极客头条
☞ ChatGPT 太猖狂?OpenAI 欲打假并研发“文本水印”,网友吐槽:太“鸡肋”!
☞2022天池大赛-云原生编程挑战赛圆满收官,见证冠军战队的诞生
