我的世界|阿里云发现安全漏洞，但没有及时上报工信部传星巴克|合作伙伴|星巴克|阿

这几天，关于娱乐圈和直播圈的瓜刷屏不断，吃个一两次还好。
但连着几天被微博强行喂瓜，估计大伙都吃麻了，天天都是王力宏薇娅，谁看了不说一声腻啊。
为了给大家带来源源不断的新鲜感，小雷今天和大伙聊点正经的。
不知道你们在昨晚有没有刷到这样一条资讯：阿里云被暂停网络安全威胁信息共享平台合作单位。
事情是这样的，阿里云发现了一个核弹级别的Log4Shell漏洞，按正常处理流程来说，应该及时向外界报告才对。
毕竟漏洞危害性极强，多拖一秒都有可能对各大互联网公司造成巨大损失。

文章插图
而阿里云确实向外界报告了，但整体的报告流程引起了广大网友的不满。
因为它先是报告给美国apache软件基金会，再过了十几天后，工信部那边才收到具体消息...

文章插图
这就意味着，Log4Shell漏洞在这十几天里处于为所欲为的状态，犹如猛兽出笼，后害无穷。
无论是业界技术人员，还是机圈爱好者，都在同一时间吐槽阿里云：哥们儿，你这流程走的不对啊。
如果是普通的小漏洞，也许不至于泛起如此波澜，但Log4Shell漏洞实在太顶了，它不仅攻击性强，连适用性都是一等一的广。
目前已经被apache软件基金会评为10级漏洞（从1-10分，等级越高危害越大）。

文章插图
就这么说吧，这玩意儿要是放在黑客手上，管你公司是啥安全级别，统统都是弟弟。

文章插图
也因此这事儿，国内外的云服务提供商都紧张得很，收到消息后纷纷开启排查。
像腾讯云就很快发出通告，提醒用户尽早升级Log4j最新版本。

文章插图
腾讯云甚至把漏洞的风险等级定义为高风险。
具体风险也是典型的字少事大：攻击者利用该漏洞可导致任意代码执行。
只要攻击者乐意，完全可以远程控制软件，并从中盗取敏感信息。
再狠点，甚至能长期霸占服务器，把它用来挖矿牟取利益，放在现实中，这相当于当着咱们面入室抢劫了。

文章插图
微软这边也很严谨，直接整了个防御和检测Log4Shell的长文，连检测工具都连夜开发了出来。
毕竟大用户太多，要是真出事了，微软云服务这一整年基本就白干了...

文章插图
当然啦，之所以有大公司们着手防御，当然是因为有倒霉蛋先行中招...
而这个倒霉蛋就是知名游戏《我的世界》Java版。

文章插图
不夸张的说，通过Log4Shell入侵《我的世界》，可能比小雷赢一把斗地主还简单。
直接在聊天窗口输入一行恶意代码，就能入侵别人的游戏服务器。
国外有一些老哥知道这事儿后，都亲自上游戏试了一下，结果是屡试不爽。
好在《我的世界》反应够快，没多久就修复了漏洞，不然这游戏可以直接改名《黑客世界》...
与其同时，小雷也十分好奇，这Log4Shell漏洞的源头在哪。

文章插图
小雷特意去网上搜了下发现，这个漏洞源自于apache软件软件基金会旗下的log4j项目。
平时不接触代码的人可能没听过，但在全世界的程序员大圈子里，log4j作为java生态的基础组件，几乎是人人皆知。
就像《英雄联盟》玩家离不开LOL盒子，还有玩FPS游戏离不开准星。
而Log4j也不是啥复杂的程序，说简单了说，它只是一个开源的Java日志框架。
众所周知啊，搞开发是一个与代码疯狂对线的过程，在一个能正常使用的软件面世之前，势必要经过无数次测试。
一次测试跑不通，就得重新查看代码，看看哪里出了问题。

文章插图
这图可以说是很贴切了
但运行代码跟平常打游戏不一样，它不能实时回放运行过程发生了啥。
如果真遇上运行崩溃了，程序员只能等代码跑完，再去后台查看错误日志。
像前段时间MIUI的bug很多，开发人员就会让用户反馈bug的时候带上一份日志，这样他们才能精准定位问题所在。