我的世界|阿里云发现安全漏洞,但没有及时上报工信部

这几天,关于娱乐圈和直播圈的瓜刷屏不断,吃个一两次还好。
但连着几天被微博强行喂瓜,估计大伙都吃麻了,天天都是王力宏薇娅,谁看了不说一声腻啊。
为了给大家带来源源不断的新鲜感,小雷今天和大伙聊点正经的。
不知道你们在昨晚有没有刷到这样一条资讯:阿里云被暂停网络安全威胁信息共享平台合作单位。
事情是这样的,阿里云发现了一个核弹级别的Log4Shell漏洞,按正常处理流程来说,应该及时向外界报告才对。
毕竟漏洞危害性极强,多拖一秒都有可能对各大互联网公司造成巨大损失。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
而阿里云确实向外界报告了,但整体的报告流程引起了广大网友的不满。
因为它先是报告给美国apache软件基金会,再过了十几天后,工信部那边才收到具体消息...

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
这就意味着,Log4Shell漏洞在这十几天里处于为所欲为的状态,犹如猛兽出笼,后害无穷。
无论是业界技术人员,还是机圈爱好者,都在同一时间吐槽阿里云:哥们儿,你这流程走的不对啊。
如果是普通的小漏洞,也许不至于泛起如此波澜,但Log4Shell漏洞实在太顶了,它不仅攻击性强,连适用性都是一等一的广。
目前已经被apache软件基金会评为10级漏洞(从1-10分,等级越高危害越大)。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
就这么说吧,这玩意儿要是放在黑客手上,管你公司是啥安全级别,统统都是弟弟。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
也因此这事儿,国内外的云服务提供商都紧张得很,收到消息后纷纷开启排查。
像腾讯云就很快发出通告,提醒用户尽早升级Log4j最新版本。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
腾讯云甚至把漏洞的风险等级定义为高风险。
具体风险也是典型的字少事大:攻击者利用该漏洞可导致任意代码执行。
只要攻击者乐意,完全可以远程控制软件,并从中盗取敏感信息。
再狠点,甚至能长期霸占服务器,把它用来挖矿牟取利益,放在现实中,这相当于当着咱们面入室抢劫了。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
微软这边也很严谨,直接整了个防御和检测Log4Shell的长文,连检测工具都连夜开发了出来。
毕竟大用户太多,要是真出事了,微软云服务这一整年基本就白干了...

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
当然啦,之所以有大公司们着手防御,当然是因为有倒霉蛋先行中招...
而这个倒霉蛋就是知名游戏《我的世界》Java版。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
不夸张的说,通过Log4Shell入侵《我的世界》,可能比小雷赢一把斗地主还简单。
直接在聊天窗口输入一行恶意代码,就能入侵别人的游戏服务器。
国外有一些老哥知道这事儿后,都亲自上游戏试了一下,结果是屡试不爽。
好在《我的世界》反应够快,没多久就修复了漏洞,不然这游戏可以直接改名《黑客世界》...
与其同时,小雷也十分好奇,这Log4Shell漏洞的源头在哪。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
小雷特意去网上搜了下发现,这个漏洞源自于apache软件软件基金会旗下的log4j项目。
平时不接触代码的人可能没听过,但在全世界的程序员大圈子里,log4j作为java生态的基础组件,几乎是人人皆知。
就像《英雄联盟》玩家离不开LOL盒子,还有玩FPS游戏离不开准星。
而Log4j也不是啥复杂的程序,说简单了说,它只是一个开源的Java日志框架。
众所周知啊,搞开发是一个与代码疯狂对线的过程,在一个能正常使用的软件面世之前,势必要经过无数次测试。
一次测试跑不通,就得重新查看代码,看看哪里出了问题。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
这图可以说是很贴切了
但运行代码跟平常打游戏不一样,它不能实时回放运行过程发生了啥。
如果真遇上运行崩溃了,程序员只能等代码跑完,再去后台查看错误日志。
像前段时间MIUI的bug很多,开发人员就会让用户反馈bug的时候带上一份日志,这样他们才能精准定位问题所在。