[Java知识库]司空见惯 - Log4j的大bug

平时公司的电脑总是因为安全防护要求，不停打补丁、升级软件，搞来搞去的，这些后台任务会造成电脑卡顿，升完级还要重启，烦得很。

这不，日积月累就把我的电脑搞残了，资源浏览器打不开，Ctrl+C / V不能用，头疼。

所以周六来公司整理电脑。

意外的是还有同事来加班，问了下，原来是出现安全漏洞，要升级公司的一些软件。

这个漏洞就是Java里用的一个非常普遍的package，log4j啊。

第一感觉，有点莫名其妙，一个日志记录的模块，开源项目，还怎么出这事呢。

对比之下，还是Linux内核的代码是不是因为有高手大神维护和监督，更加靠谱呢。

唉，真是又要软件免费安全好用，又想白嫖，出了问题就骂娘，那可不是好事啊。

不过说起这个安全问题，我们项目上因为有Security审查，也是把我们搞惨了。

GNU libc要升级，Busybox要升级，还要做security boot，还要对开放给用户的文件签名，然后coverity扫描出来的问题还都要改，真是一波未平一波又起，很是头大，人手都不够用了。

可这个是事重不重要呢？ 那就仁者见仁智者见智了。出了事，就是大事。

在这个互联广泛的时代，一朵浪花就能从大洋彼岸直接拍你脸上。在软件领域如此，尤其是开源软件，其他领域恐怕也多多少少类似。

就像现在的新冠，一传十十传百，就问你怕不怕。

一旦有些意外或者别有用心的人，利用了这快速传播和影响，真的是会给世界带来巨大的灾难。

现在天天出门带口罩带手机，没有健康码没有口罩，就感觉人生不完整了。这就是人类对灾难的适应性。

------------------------------------------------------------?

那就让我们来铭记一下，这个log4j事情的始末吧：

Log4j软件漏洞对整个互联网构成 "严重风险"

一个常用软件的缺陷使数百万网络服务器容易被黑客利用。

一个名为Log4j的软件被发现存在重大安全漏洞，该软件被数百万网络服务器使用。该漏洞使它们容易受到攻击，世界各地的团队正争先恐后地在黑客利用它们之前修补受影响的系统。互联网现在正在到处灭火。黑客可以利用Log4j的这个bug访问关键数据。

发生了什么？

Log4j的问题首先在视频游戏《Minecraft》中被注意到，但很快就发现其影响要大得多。该软件被用于数百万的网络应用，包括苹果的iCloud。自12月9日以来，利用该漏洞的攻击（被称为Log4Shell攻击）一直在发生。

美国网络安全和基础设施安全局局长Jen Easterly说，这个安全漏洞给互联网带来了 "严重风险"。"她说："这个漏洞正在被越来越多的威胁者广泛利用，鉴于它的广泛使用，给网络防御者带来了紧迫的挑战。

Log4j到底是什么？

你所使用的几乎每一个软件都会保留错误和其他重要事件的记录，被称为日志。许多软件开发者没有创建自己的日志系统，而是使用开源的Log4j，使其成为世界上最常见的日志包之一。

不需要重新发明轮子是一个巨大的好处，但Log4j的普及现在已经成为一个全球安全问题。该漏洞影响到数百万台机器上运行的软件，与我们息息相关。

这个缺陷允许黑客做什么？

攻击者可以通过强迫Log4j存储包括一串非常特殊的文本的日志条目，从而欺骗Log4j运行恶意代码。黑客这样做的方式因程序而异，但在《Minecraft》中，有报道称这是通过聊天框完成的。一个日志条目被创建来归档这些信息中的每一条，所以如果危险的文本字符串从一个用户发送到另一个用户，它将被植入日志中。

在另一个案例中，人们发现苹果公司的服务器创建了一个日志条目，记录了其所有者在设置中给iPhone的名字。无论怎么做，一旦实现了这个技巧，攻击者就可以在服务器上运行他们喜欢的任何代码，比如窃取或删除敏感数据。

为什么没有更早发现这个缺陷？

构成开源软件的代码可以被任何人查看、运行，甚至--通过检查和平衡--被编辑。这种透明度可以使软件更加稳健和安全，因为有很多双眼睛都在研究它。但没有任何软件可以保证安全。

实现Log4Shell攻击的问题已经在代码中存在了很长时间，但直到上个月末才被中国计算公司阿里云的一名安全研究员发现。他立即向Apache软件基金会报告了这个问题，该组织是美国的非营利组织，负责监督包括Log4j在内的数百个开源项目，以便在问题被公开披露之前给他们时间来修复这个问题。

这种负责任的披露是这类漏洞的标准做法，尽管无良的漏洞猎手也会把漏洞卖给黑客，让它们悄悄地被使用几个月或几年--包括卖给世界各国政府的窥探软件。

现在发生了什么？

Apache将该漏洞列为 "关键 "等级，并急于开发一个解决方案。现在，成千上万的IT团队争先恐后地将Log4j更新到2.15.0版本，该版本是在漏洞公开之前发布的，主要修复了这个问题。团队还需要仔细检查他们的代码是否存在潜在的漏洞，并注意黑客的企图。

虽然修复这类问题的补丁可以很快出现，特别是当它们被负责任地透露给开发团队时，每个人都需要时间来应用它们。现在的计算机和网络服务是如此的复杂，而且分层的抽象层有几十个，代码在代码上运行，层层叠加，所有这些服务的更新可能需要几个月。

而且总会有一些永远不会更新。互联网的许多尘土飞扬的角落都是由老化的硬件和过时的、脆弱的代码支撑的--黑客们非常乐意利用这一点。

参考：

Log4j: Serious software bug has put the entire internet at risk | New Scientist