免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

來(lái)源：大數(shù)據(jù)文摘

都說(shuō)開(kāi)源工具好，bug一來(lái)才是真煩惱。

就在前幾天，全球知名開(kāi)源日志組件Apache開(kāi)源項(xiàng)目Log4j遠(yuǎn)程代碼執(zhí)行漏洞細(xì)節(jié)被公開(kāi)。

編號(hào)CVE-2021-44228的漏洞由阿里云安全研究團(tuán)隊(duì)發(fā)現(xiàn)、于11月底通報(bào)Apache基金會(huì)的遠(yuǎn)端程式碼執(zhí)行漏洞。它是Log4j的JNDI API未能驗(yàn)證遠(yuǎn)端攻擊者由惡意LDAP或其他端點(diǎn)發(fā)送修改過(guò)參數(shù)的log訊息，而自LDAP伺服器下載惡意程式碼至受害系統(tǒng)執(zhí)行，最嚴(yán)重可接管整臺(tái)系統(tǒng)。

盡管美國(guó)NIST漏洞資料庫(kù)并未給定CVE-2021-44228的CVSS 3.1風(fēng)險(xiǎn)值，許多安全廠商皆給出了最嚴(yán)重等級(jí)的10分。

Tenable稱其為10年最重大漏洞，Cloudflare執(zhí)行長(zhǎng)Matthew Price則說(shuō)這是Heartbleed、ShellShock以來(lái)最嚴(yán)重的漏洞。

該資料庫(kù)的用戶范圍涵蓋全球，比如蘋(píng)果iCloud、推特、微軟游戲Minecraft及Valve游戲平臺(tái)Steam等，此外，ElasticSearch、Elastic Logstash、Redis及美國(guó)國(guó)安局的Ghidra、以及CloudFlare、騰訊、百度等大型網(wǎng)站服務(wù)也都使用這項(xiàng)元件。

因此本次受影響范圍之大足以想見(jiàn)。

但在本次史詩(shī)級(jí)漏洞被曝光的背后，還存在一個(gè)令人心酸的事實(shí)，那就是日常維護(hù)Apache Log4j2項(xiàng)目的只有3人。

在了解整場(chǎng)事件之前，我們先來(lái)看看Log4j。

Log4j是一款開(kāi)源Java日志記錄工具，主要用來(lái)監(jiān)視代碼中變量的變化情況，周期性的記錄到文件中供其他應(yīng)用進(jìn)行統(tǒng)計(jì)分析工作；跟蹤代碼運(yùn)行時(shí)軌跡，作為日后審計(jì)的依據(jù)；擔(dān)當(dāng)集成開(kāi)發(fā)環(huán)境中的調(diào)試器的作用，向文件或控制臺(tái)打印代碼的調(diào)試信息。

在強(qiáng)調(diào)可重用組件開(kāi)發(fā)的今天，Apache提供的強(qiáng)有力的日志操作包Log4j可以輕松控制log信息是否顯示、log信息的輸出端類型、輸出方式、輸出格式，更加細(xì)致地控制日志的生成過(guò)程，而其通過(guò)配置文件可以靈活地進(jìn)行配置而不需要大量的更改代碼。

也就是說(shuō)，很多互聯(lián)網(wǎng)企業(yè)都可以選擇使用Log4j。

2014年，Log4j2發(fā)布。作為對(duì)Log4j的重大升級(jí)，Log4j2完全重寫(xiě)了log4j的日志實(shí)現(xiàn)，不僅提供了Logback中可用的許多改進(jìn)，同時(shí)修復(fù)了Logback架構(gòu)中的一些固有問(wèn)題。

Log4j2也支持SLF4J，可以自動(dòng)重新加載日志配置，并支持高級(jí)過(guò)濾選項(xiàng)。此外它還允許基于lambda表達(dá)式對(duì)日志語(yǔ)句進(jìn)行延遲評(píng)估，為低延遲系統(tǒng)提供異步記錄器，并提供無(wú)垃圾模式以避免由垃圾收集器操作引起的任何延遲。通過(guò)其他語(yǔ)言接口，企業(yè)也可以在C、C++、.Net、PL/SQL程序中使用Log4j。

此次漏洞的出現(xiàn)，正是由用于Log4j2提供的lookup功能造成的，該功能允許開(kāi)發(fā)者通過(guò)一些協(xié)議去讀取相應(yīng)環(huán)境中的配置。但在實(shí)現(xiàn)的過(guò)程中，并未對(duì)輸入進(jìn)行嚴(yán)格的判斷，從而造成漏洞的發(fā)生。

“微步在線研究響應(yīng)中心”也復(fù)現(xiàn)了該漏洞：

換句話說(shuō)，如果在打印日志時(shí)發(fā)現(xiàn)日志內(nèi)容中包含關(guān)鍵詞${，那么這個(gè)里面包含的內(nèi)容會(huì)當(dāng)做變量來(lái)進(jìn)行替換，導(dǎo)致攻擊者可以任意執(zhí)行命令。

由于線上web業(yè)務(wù)的任何數(shù)據(jù)都可能寫(xiě)入Log4j，甚至一些pre-auth的地方，比如注冊(cè)、登錄，實(shí)際攻擊入口取決于業(yè)務(wù)具體情況。百度搜索、蘋(píng)果iCloud搜索、360搜索等都出現(xiàn)了不同程度的問(wèn)題。

在漏洞被發(fā)現(xiàn)后，由于應(yīng)用廣泛，想必不少程序員加班都快加瘋了，也有人開(kāi)始埋怨為什么維護(hù)人員都沒(méi)有發(fā)現(xiàn)這么危險(xiǎn)的漏洞。

這還真不能怪人家。

Apache軟件基金會(huì)Logging Services的PMC成員Volkan Yaz?c?在推特上解釋到，此次漏洞是“為向后兼容保留的舊功能”而引發(fā)的。

“Log4j維護(hù)者一直在為緩解措施而失眠；修復(fù)錯(cuò)誤、文檔和CVE，還要回應(yīng)他人的詢問(wèn)。即便如此，他們還要遭受許多嚴(yán)厲的批評(píng)乃至抨擊——哪怕這份工作沒(méi)有任何酬勞，哪怕這個(gè)為了向后兼容而保留的功能我們其實(shí)也不喜歡?！?/p>

網(wǎng)絡(luò)安全記者Catalin Cimpanu也表示，Apache Log4j2的維護(hù)工作主要由3名志愿者，在業(yè)余時(shí)間完成。

不少網(wǎng)友，包括Cryptogopher+Go團(tuán)隊(duì)安全負(fù)責(zé)人Filippo Valsorda都忍不住發(fā)推呼吁大家“別白嫖”了：

目前，保守估計(jì)，能夠維護(hù)一個(gè)大型開(kāi)源項(xiàng)目的開(kāi)發(fā)人員的市場(chǎng)價(jià)格至少是30萬(wàn)美元/年，在GitHub和Patreon上看到的最多1000美元/月。

但也有網(wǎng)友表示，盡管如此，這次的漏洞是因?yàn)樗麄兲砑恿艘粋€(gè)錯(cuò)誤的、不安全的特性，使得庫(kù)不適合大多數(shù)合理用途，這個(gè)bug不是因?yàn)槿卞X而引起的。

針對(duì)此次漏洞，“微步在線研究響應(yīng)中心”給出了一些應(yīng)急方案：

• 修改jvm參數(shù)：Dlog4j2.formatMsgNoLookups=true

• 修改配置：log4j2.formatMsgNoLookups=True

• 將系統(tǒng)環(huán)境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設(shè)置為true

• 檢查所有使用了Log4j組件的系統(tǒng)

官方修復(fù)鏈接如下：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

12月10日， 阿里云安全團(tuán)隊(duì)再次發(fā)出預(yù)警，發(fā)現(xiàn)Apache Log4j 2.15.0-rc1版本存在漏洞繞過(guò)，建議及時(shí)更新至Apache Log4j 2.15.0-rc2版本。

正如網(wǎng)友所言，開(kāi)源工具面臨的困境在于，項(xiàng)目順利進(jìn)行時(shí)，一切都很好，一旦出現(xiàn)問(wèn)題，每個(gè)人都會(huì)抱怨，而且通常抱怨最多的人貢獻(xiàn)最少，這就導(dǎo)致那些擁有一些世界上最常用項(xiàng)目的才華橫溢的開(kāi)發(fā)人員，幾乎沒(méi)有得到認(rèn)可。

相關(guān)報(bào)道：

https://uk.pcmag.com/security/137653/critical-apache-log4j2-exploit-demonstrated-in-minecraft

https://www.ithome.com.tw/news/148332

   END    

清華大學(xué)《2021“元宇宙”研究報(bào)告》電子書(shū) 126頁(yè)ppt 完整版下載

獲取方式：點(diǎn)擊下方“AI熊貓教授”關(guān)注，回復(fù)：YYZ

AI熊貓教授

一位有趣的計(jì)算機(jī)科學(xué)家，分享：AI、大數(shù)據(jù)、算法、科技趣聞。

8篇原創(chuàng)內(nèi)容

公眾號(hào)

  近期好文：

1、facebook全面擁抱“元宇宙”，必死無(wú)疑！

2、馬斯克，騙了全世界

3、市值破2.5萬(wàn)億美元，重回全球第一，宣布進(jìn)軍「元宇宙」！

4、“元宇宙”騙子太多，韭菜都不夠用了！

5、武大94年博士年薪201萬(wàn)入職華為！學(xué)霸日程表曝光！

6、博士買房被坑，寫(xiě)萬(wàn)字論文維權(quán)，網(wǎng)友：維權(quán)界的天花板...