文／陳根

Log4j，一個(gè)注定會載入網(wǎng)絡(luò)安全史冊上的漏洞。

不管是什么編程語言，往往都離不開日志記錄。日志記錄主要用來監(jiān)視代碼中變量的變化情況，周期性的記錄到文件中供其他應(yīng)用進(jìn)行統(tǒng)計(jì)分析工作；跟蹤代碼運(yùn)行時(shí)軌跡，作為日后審計(jì)的依據(jù)。簡單來說，日志可以幫助人們了解程序的運(yùn)行情況，排查程序運(yùn)行中出現(xiàn)的問題。

在Java技術(shù)棧中，用的比較多的日志輸出框架主要就是log4j2和logback。因?yàn)長og4j開源的性質(zhì)，Log4j遍布整個(gè)軟件行業(yè)，被廣泛用于記錄用戶名、密碼和信用卡交易等細(xì)節(jié)。

然而，2021年11月24日，Apache Log4j2卻被曝出存在嚴(yán)重高危的遠(yuǎn)程代碼執(zhí)行漏洞，大體來說，這個(gè)漏洞允許攻擊者在未經(jīng)身份驗(yàn)證的情況下，通過遠(yuǎn)程代碼訪問服務(wù)器。他們可以發(fā)送指令、執(zhí)行指令，并且可能完全不被發(fā)現(xiàn)。消息一經(jīng)發(fā)布，整個(gè)軟件行業(yè)都為之震動。

很快，阿里云、斗象科技、綠盟科技、默安科技、奇安信等眾多安全廠商均對此發(fā)布危害通報(bào)。事實(shí)上，自發(fā)現(xiàn)該漏洞以來，網(wǎng)絡(luò)安全工程師就在爭分奪秒地保護(hù)應(yīng)用程序、服務(wù)、基礎(chǔ)設(shè)施和物聯(lián)網(wǎng)設(shè)備。

然而，部分Minecraft用戶還是受到了勒索軟件攻擊，微軟則檢測到了下載和運(yùn)行“挖礦”軟件、竊取身份信息等行為，比利時(shí)國防部甚至因受到攻擊而關(guān)閉了部分計(jì)算機(jī)網(wǎng)絡(luò)。

在Log4j維護(hù)者團(tuán)隊(duì)幾乎無償?shù)木o急工作下，Apache于2021年12月6日針對Log4j漏洞進(jìn)行了修復(fù)，但沒能完全解決問題，又在12月13日、17日和27日分別針對新發(fā)現(xiàn)的問題發(fā)布了新版本。

這一次漏洞的影響面之所以如此之大，主要還是log4j的使用面實(shí)在是太廣了。一方面，現(xiàn)在Java技術(shù)棧在Web、后端開發(fā)、大數(shù)據(jù)等領(lǐng)域應(yīng)用非常廣泛，除了阿里巴巴、京東、美團(tuán)等一大片以Java為主要技術(shù)棧的公司外，還有多如牛毛的中小企業(yè)選擇Java。另一方面，諸好多像kafka、elasticsearch、flink這樣的大量中間件也是用Java語言開發(fā)的。

當(dāng)然，究其原因，還在于雖然一些數(shù)百萬乃至數(shù)十億體量的公司依賴它獲利，但它卻只是一個(gè)志愿者建立的，并且很大程度上是免費(fèi)運(yùn)行的項(xiàng)目。如果進(jìn)展順利，開源就是合作的勝利；而一旦出了問題，就會產(chǎn)生深遠(yuǎn)的危險(xiǎn)。這次的危機(jī)就暴露了整個(gè)互聯(lián)網(wǎng)行業(yè)的供應(yīng)鏈安全問題。

當(dāng)前，互聯(lián)網(wǎng)的安全已經(jīng)是一個(gè)不得不重視的問題，隨著數(shù)字時(shí)代的降臨，數(shù)字世界幾乎能復(fù)刻出完全仿真的現(xiàn)實(shí)世界。在這樣的背景下，安全問題牽一發(fā)而動全身，關(guān)乎到社會的穩(wěn)定、國家的發(fā)展，甚至更多。只有保障數(shù)字社會的安全，數(shù)字世界的發(fā)展才能行穩(wěn)致遠(yuǎn)。

    ?原文標(biāo)題:陳根：網(wǎng)絡(luò)安全“核彈級”漏洞，軟件行業(yè)抖三抖?