52格格党

第475章 完全躺赢的博浪（第2页）

为降低网络安全风险，提醒有关单位和公众密切关注阿帕奇log4j2组件漏洞官方补丁发布，现将临时解决方案下发。

网安将持续组织开展漏洞处置工作，防范网络产品安全漏洞风险，维护公共互联网网络安全……』

深夜发布公告这一举动，自然很快触动了各类群体。

也很快被广泛传播。

引发了夜猫子吃瓜网友的各类谈论。

很快，向来擅长于熬夜的程序猿们纷纷冒泡，通过各种渠道表达了对事件的关注。

网友们也聊得热火朝天。

“这次工信反应好快啊，居然还完成了临时解决方案，有点意外。”

“我文科生不懂这些东西，不过从公告中发现了个比较有意思的点，这漏洞是阿里云发现的，但只通告了阿帕奇，没有通告网安，还是网安自己发现的，有没有懂行的说一说这个漏洞到底有多大影响？”

秃头是我身为强者的尊严：“刚阅读了临时解决方案和漏洞情况，影响范围怎么说呢……只要是联网机器，只要使用了这个组件，底裤都能被看光的程度，据我所知，这个log4j2是去年阿帕奇重点推出的日志组件项目；

目的是为了应对加入阿帕奇又退出阿帕奇并开发了log4j的作者新作slf4j……总之，因为阿帕奇组织下的apache是全世界排名第一的web服务器，所以嘛……log4j2现在的使用范围你懂的。”

熬夜是我的保护色：“只能说吓出一身冷汗，我反正是感觉有点完犊子了。”

每献祭一根头发即可技术+1：“我发现了个有意思的事情，博浪可能是此次漏洞中的最佳躺赢选手，出于好奇，我刚才自建环境复现漏洞，因为我还比较喜欢新鲜事物，所以我有一台星海工作站……尝试搭建环境时发现星辰桌面系统不支持这个日志组件，官方文档中有自带日志组件，也不支持jndi接口；

有意思的是，我随后打开‘星辰灵境’运行dows，成功复现漏洞，并且执行了攻击操作……

好在‘星辰灵境’是通俗的特别沙盒模式运行，可以通过攻击随意操作运行的dows系统任意内容，包括读取文件，但不会影响到主系统星辰桌面，换句话说，无论怎么搞，星辰类系统不受这个超罕见超危险漏洞影响。”

我是每天睡不着所以晚上吃瓜的选手：“6666，还有这种操作，那岂不是说星辰系统是目前全球最安全系统？”

“我觉得吧，我终于找到了网上所有批评博浪重复造轮子的反击方式！

！”

“……”

-，！

复，也形成了简单的临时规避解决方案。”

“据目前统计，其中国防科工等几个重点单位的对外服务器均有证据表明有通过该漏洞的入侵，部分资料有被非法访问痕迹，总次数超过千次……

其中部分单位近期连番遭遇海量网络攻击疑似与此漏洞有关。”

“某单位可能有机密等级的电子文件被非法访问……”

一五一十的描述完毕后，秘书轻吸了一口气：“根据和友邻单位的初步共同研判，此次漏洞造成的潜在损失可能超过了棱镜。”

“这个漏洞之简单，攻击之深度……实在是过于罕见，据可靠消息，apache方面会将此漏洞列为cvss通用漏洞评分系统最高级别的10分，超危险。”

秘书汇报完毕后，看向一旁同来的工程师主管：“其它方面还请林工来补充。”

林工当仁不让，补充了重点：“经过系统性分析，此漏洞原理十分简单，一经发现即可轻易判断危险等级，常规情况下触发概念不大，但触发门槛十分低，总计只需要编写三行代码。”

“……此外，经友邻单位的综合信息汇总，基于星辰内核衍生而立的重点单位内部系统上因无法装载该漏洞日志组件，且因不支持触发漏洞的其中一个jndi接口，从而完全无法被攻击，也包括所有以星辰内核衍生的操作系统产品；

其中单位试点使用于非关键服务的星辰云，也因此没有这个漏洞。”

“已较为常态使用的阿里云产品，则全部发现了这个漏洞，阿里云的维护工程师至今仍没有通报该漏洞，也没有进行临时规避解决……”

老苗头都忍不住在心中腹诽：“艹。”

他是真无语了。

怎么踏马能有这种单位！

他可是那么儒雅随和的人啊！

都忍不住生艹了。

随后，老苗头做出了决定：“既然已经形成了临时规避解决方案，也有了初步结论，即刻将风险通告给更广泛范围。”

“三小时后正式对外发公告。”

秘书依言记下，在斟酌中提出了自己的建议：“是否等到明天白天？”