因Log4j2漏洞阿里云被除名,致互联网安危不顾

61 0
2021-12-23 08:10:40
显示全部楼层
(本帖转载,侵权必删)

发现世上最严重Bug,没有得到嘉奖,而被工信部除名,这波操作只能说阿里吃相太难看,致国内互联安全不顾,被除名在我看来都是轻的。作为一个程序员,自我感觉还是挺有发言权,毕竟自己也是加班修复了两夜,才平息了这次危机。

这次的漏洞发生在日志输出上,大部分都用了log4j2,把WiFi名称,电脑名称改成Payload,就可以触发0day漏洞,若是不第一时间修复点话,相当于把服务器直接暴露在外,只要有外网谁都可以连接,获取上面的数据和操作上面的数据。
自己也尝试复现了一下这个Bug,仅仅需要一个行代码都轻松提权整个系统。这个漏洞的原理是通过JNDI来实现的,LDAP进行对应的操作,最终实现操作用户系统。
就是这样的一个bug,阿里在11月份就发现了,作为一个以java为主体的互联网公司,第一时间没有说将bug反馈给有关部门。当然告诉开源组织这个操作是没有错,但是不知道你有没有想过,当你把漏洞交给开源组织后,相当于国内众多企业都将会受到风险评估。普通的漏洞第一时间通知开源组织没啥,大事这样的史诗级别直接告诉,就有点说不过去了。
虽说直接告诉工信部并不能解决问题,但是工信部进行对应公示提醒,等大家都修复后,再将对应的bug放出,这样大家都不用连夜加班。
此次事件也是给互联网和安全公司提个醒,若是发现漏洞一定要第一时间提供给,挨打就要立正,希望阿里团队日后能够更好为网安做出贡献。

本帖转载自https://mbd.baidu.com/newspage/d ... D&n_type=1&p_from=4(作者:别人家的工程师)


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x