易坊好文馆

  1. 首页 > 玩科技 >

Log|开源“白嫖”遇上史诗级漏洞,Log4j 背后的开源人!

用户 项目 工作 影响 漏洞 史诗 log Apache Log4 Curl 维护者 Babel

整理 | 郑丽媛
出品 | CSDN(ID:CSDNnews)
近年来 , 开源热潮席卷全球 , 纵观全球信息产业 , 更是呈现“得开源者得生态 , 得开源者得天下”的态势 。 在此趋势下 , 众多互联网企业争相拥抱开源 , “开源”一词被推上了前所未有的高度 。
然而 , 上周全球知名开源日志组件 Apache Log4j2 被曝严重高危漏洞的事件 ,撕开了“开源”光鲜亮丽的外表 , 将部分残忍的真实现状公诸于世:
无数开源项目维护者困于生存压力 , 只能在身兼全职工作的业余时间为了热爱与责任“用爱发电”、苦苦坚守 , 换来的却是项目出 Bug 时的无情抨击 。

Log|开源“白嫖”遇上史诗级漏洞,Log4j 背后的开源人!
文章图片

(图片下载自视觉中国)
只有 3 个人赞助的 Apache Log4j2
上周 , Apache Log4j2 被曝存在严重高危的远程代码执行漏洞 , 可以让网络攻击者无需密码就能访问网络服务器 , 阿里云、斗象科技、绿盟科技、默安科技、奇安信等众多安全厂商均对此发布危害通报 , 具体漏洞详情可见: 《Flink等多组件受影响 , Apache Log4j曝史诗级漏洞》
Apache Log4j2 这一漏洞触发简单、攻击难度低、影响人群广泛 , 被称为“史诗级”高危漏洞 , 服务器业务(Steam、iCloud、Minecraft 等)被严重影响 , 其中元宇宙概念游戏《我的世界》更是有数十万用户被入侵 。 尽管后续 Apache Log4j2 针对该漏洞给出了修复版本 log4j-2.15.0-rc2 , 但由于 Apache Log4j2 应用广泛 , 该漏洞几乎会严重影响所有将 Java 作为开发语言研发产品的安全性 , 因此漏洞发现以后 ,世界上很多程序员都在为此加班加点 , 甚至开始抨击为何 Apache Log4j2 的维护者们连这般危险的漏洞都没发现 。

Log|开源“白嫖”遇上史诗级漏洞,Log4j 背后的开源人!
文章图片

那这是为什么呢?据 Apache 软件基金会 Logging Services 的 PMC 成员 Volkan Yaz?c? 在推特上给出的解释 ,此次漏洞是“为向后兼容保留的旧功能”而引发的:
“Log4j 维护者一直在为缓解措施而失眠;修复错误、文档和 CVE , 还要回应他人的询问 。 即便如此 , 他们还要遭受许多严厉的批评乃至抨击——哪怕这份工作没有任何酬劳 , 哪怕这个为了向后兼容而保留的功能我们其实也不喜欢 。 ”

Log|开源“白嫖”遇上史诗级漏洞,Log4j 背后的开源人!
文章图片

Volkan Yaz?c? 这个回应可谓“一石激起千层浪” , 不仅是因为漏洞起源 , 更多的是因为他所说的“这份工作没有任何酬劳”:从此次 Apache Log4j2 漏洞的影响范围来看 , 将其看做打入互联网的“半壁江山”也不为过 , 这样一个使用广泛的开源项目 , 背后维护者没有得到赞助吗?

推荐阅读


上一篇:硬件|适用于英特尔第12代处理器的亲民主板H670/B660/H610即将上市

下一篇:行星|嫦娥五号首批样品中隐藏的月球密码