老苗头直接安排:“明天上午发起个会议,商议信息安全风险规范建设、以及商量如何组建常态化信息安全防范组织。”
“公告中要体现出对阿里云的处罚决定吗?”秘书问了个特别的问题。
老苗头摇头:“等大家商量之后再决定。”
最后又说了句:“把星辰、星辰云的表现结果告诉温良。”
秘书再次点头。
…………
稍晚些时候,温良就收到了信息通知。
温良又通知了李泽,让他随时准备出击。
如此这般,因为一个漏洞,这个前半夜国内无数互联网公司、信息科技公司的技术支撑部门全都忙成了一锅粥。
尽管损失可能已经造成,但也正因为此,必须得抓紧每一分钟赶紧把漏洞处理干净,别再造成新损失。
不能说一个人黑进来是黑,十个人黑进来也是黑这种叼话。
随后,深夜11点多,工信下属网安局发布了工作动态公告。
《关于阿帕奇log4j2组件重大安全漏洞的网络安全风险提示》
公告内容表示:
『阿帕奇(apache)log4j2组件是基于java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会……
10月25日,网安下属职员日常巡查发现阿帕奇log4j2组件存在严重安全漏洞,已开展漏洞风险分析与排查及修复……
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞……
为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇log4j2组件漏洞官方补丁发布,现将临时解决方案下发。
网安将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全……』
深夜发布公告这一举动,自然很快触动了各类群体。
也很快被广泛传播。
引发了夜猫子吃瓜网友的各类谈论。
很快,向来擅长于熬夜的程序猿们纷纷冒泡,通过各种渠道表达了对事件的关注。
网友们也聊得热火朝天。
“这次工信反应好快啊,居然还完成了临时解决方案,有点意外。”
“我文科生不懂这些东西,不过从公告中发现了个比较有意思的点,这漏洞是阿里云发现的,但只通告了阿帕奇,没有通告网安,还是网安自己发现的,有没有懂行的说一说这个漏洞到底有多大影响?”
秃头是我身为强者的尊严:“刚阅读了临时解决方案和漏洞情况,影响范围怎么说呢……只要是联网机器,只要使用了这个组件,底裤都能被看光的程度,据我所知,这个log4j2是去年阿帕奇重点推出的日志组件项目;
目的是为了应对加入阿帕奇又退出阿帕奇并开发了log4j的作者新作slf4j……总之,因为阿帕奇组织下的apache是全世界排名第一的web服务器,所以嘛……log4j2现在的使用范围你懂的。”
熬夜是我的保护色:“只能说吓出一身冷汗,我反正是感觉有点完犊子了。”
每献祭一根头发即可技术+1:“我发现了个有意思的事情,博浪可能是此次漏洞中的最佳躺赢选手,出于好奇,我刚才自建环境复现漏洞,因为我还比较喜欢新鲜事物,所以我有一台星海工作站……尝试搭建环境时发现星辰桌面系统不支持这个日志组件,官方文档中有自带日志组件,也不支持jndi接口;
有意思的是,我随后打开‘星辰灵境’运行dows,成功复现漏洞,并且执行了攻击操作……
好在‘星辰灵境’是通俗的特别沙盒模式运行,可以通过攻击随意操作运行的dows系统任意内容,包括读取文件,但不会影响到主系统星辰桌面,换句话说,无论怎么搞,星辰类系统不受这个超罕见超危险漏洞影响。”
我是每天睡不着所以晚上吃瓜的选手:“6666,还有这种操作,那岂不是说星辰系统是目前全球最安全系统?”
“我觉得吧,我终于找到了网上所有批评博浪重复造轮子的反击方式!
!”
“……”
-,!
复,也形成了简单的临时规避解决方案。”
“据目前统计,其中国防科工等几个重点单位的对外服务器均有证据表明有通过该漏洞的入侵,部分资料有被非法访问痕迹,总次数超过千次……