首頁 > 現代都市 > 我的博浪人生 > 第475章 完全躺贏的博浪

第475章 完全躺贏的博浪(1/2)

目錄

「怎麼樣,我們的損失大不大?」溫良臉上水靜無波,心緒平靜。

重視沒錯,可反正事情已經發生,怎麼都得接受,沒必要為難自己,面對就完事了。

李澤爽朗的笑聲從聽筒中傳出:「不用著急,我們現在還是零損失!」

「嗯?」

「好奇吧?」

「當然,老苗頭給我的消息,能嚴重到他都知道……」

「原來如此!」

說著,李澤收斂了笑意:「知道你身邊有人,排查也花了不少時間,就沒有著急聯繫你,從目前的情況來看,已經可以肯定我們會受到的影響微乎其微,可以忽略不計。」

接著李澤詳細解釋了情況:「我們所有對外的服務系統裡面只有早期Apache剛推出時用過這個日誌組件,後來因為其開源特性我們棄用了。」

「其中,因為星辰雲系統我們花了很大心血自主研發,幾乎所有第三方開源組件都只是以作參照物而不會併入正式版,所以星辰雲服務等對外的企業級產品也不受影響。」

「而目前逐步進入試點運行的星辰服務系統更是甚少引入過第三方開源組件。」

「另一方面,因為星辰體系的完全自主研發性質,對一些模塊的定義是與目前主流系統全然不同的,比如很大一部分適用於其它系統平台的命令行乃至調用參數的方式等都存在一些定義層面的不同……這當時是因為要規避各類專利侵權風險。」

「總之,得益於你最開始強調的合規性、自主性,我們所有的自主平台在初期雖然走得十分艱難,需新造了一套體系,但也正因為如此,所以因與眾不同而安全。」

說完這些,李澤轉而說道:「根據集團網絡安全與用戶隱私大部門下的網絡安全部門反饋,這個漏洞已被阿里雲提交給了Apache,另據可靠消息Apache已經開始測試補丁方案,不日將推出。」

「公司相關人員經過海量分析,評估出了這個日誌組件漏洞的影響範圍,比非常嚴重還要嚴重,預估是近年來發現的最嚴重的計算機漏洞!」

「攻擊門檻之低超乎想像,攻擊者能通過攻擊漏洞獲得的操作權限堪稱無限!而且據不完全統計,幾乎所有Java類框架都會用這個日誌組件,使用範圍之廣也很罕見。」

聽完李澤簡短的描述,溫良笑了起來:「準備準備,阿里系要遭大殃了。」

「怎麼說。」李澤沒有著急激動,連語氣都認真了起來。

溫良耐心的回答道:「阿里雲發現了漏洞並報告給開發的行業組織Apache,哪怕只是優先報告,在後續交流中知道漏洞的影響範圍有共享給包括工信在內的相關主管單位,也沒事;

但阿里雲沒有,不僅是發現時不共享,也不僅僅是知道嚴重情況後還不共享,哪怕是在工信現在已經主動發現了漏洞的情況下,還是沒有通氣……

偏偏漏洞影響範圍廣、攻擊門坎低、攻擊還堪稱無所不在,又是在這種關鍵時候,你說他不遭殃,誰遭殃?」

李澤很快想到了關鍵點:「印象中相關單位的流程不是很清晰,而且阿里雲是普通企業,能找藉口解釋吧?」

溫良反問:「你覺得以阿里雲當下的發展態勢,它家業務廣泛不?」

「明白了。」李澤這才興奮起來,「我會好好準備的,你且等著看戲吧,我們在前期因為沒法拿到專利授權、初期因為阿美莉卡人為管束得不到新授權所多花費的每一分研發成本都會在不久的將來賺回來!」

溫良倒是很平靜:「不要先出頭,等一等工信的公告,也別通知友商了,能通知他們的時候會有人主動通告的,我們不要多管閒事。」

李澤應聲。

結束通話後,溫良翻了翻手機,查收了一封幾分鐘前才抄送給他的公司郵件,內容是簡明扼要的描述了這個叫Log4j2的組件漏洞前因後果和影響範圍。

沒有因郵件收件方可能不懂技術而縮略技術分析過程。

博浪的內部流程本來就有一些規定,糊弄的事情不是沒有,而是只要帶了腦子就不會把摻雜糊弄的事情抄送給溫良他們這些高管。

溫良他們是可能不懂技術,但偌大一個博浪,難道找不出一個懂技術的?

而且泛技術部門的人只要帶了腦子上班,就應當清楚主要的兩個經常在公司出沒的技術總工是創始人團隊成員。

一個是李博文,一個是孫寶銀。

更別說另一創始人團隊成員張鬱林是自研作業系統總工啊……這踏馬去糊弄技術內容,比主動離職要更痛快一些。

事實上,讓溫良去敲代碼是真敲不出來,但讓他看技術流程原理……呵呵,你說他能懂不懂吧。

這幾把東西如果毫無參照的情況下,確實模模糊糊,但真要有內容擺在眼前,那是能輕易串起來的。

翻了三分鐘的樣子,溫良嘖嘖稱嘆:「這都屬於慣性思維漏洞了,如果當時我還在技術崗位,這玩意估計我有可能發現……」

「居然敢相信人類的輸入每次都無誤……嘖嘖嘖……」

他還真不是自吹自擂。

李澤之所以說這個漏洞的攻擊門檻低到令人髮指真有原因,就只是一個簡單的輸入錯誤……比如在輸入url時加入一個空格……就可以繞過各種各樣的校驗,直接在被訪問的機器乃至一整個區域網內執行被預先設定好的任意內容,是任意內容。

什麼讀取文件等等那不過是輕而易舉的事情。

Log4j2日誌組件功能很強大,可惜對各類參數的判斷不嚴謹。

總之,以溫良曾經寫代碼時的那種模塊化思維,很容易發現原生組件代碼里定義的判斷條件不嚴謹。

所以……按照後世阿里雲方面的辯解,說初期不知道漏洞的嚴重性,屬於公關術語。

跟技術一點關係沒有。

純粹是阿里系內部真的……有點爛。

不僅是上層沒有相關心思,就連技術層面也可能沒想過要通知國內主管單位,預防網絡安全風險。

因為這是個發現以後就會知道很低級但很嚴重的錯誤。

…………

晚8點多,溫良剛回到下榻酒店,那邊廂老苗頭的秘書應召來到了老苗家。

與秘書同來的還有一個工程師主管。

有親自參與了此次嚴重漏洞處理過程。

老苗頭面色緩和且儒雅,坐姿端莊大氣,是那種大佬應有的模樣,不似約莫半小時前那種散漫樣兒。

連此前有些散的頭髮也又變得一絲不苟了。

秘書跟著老苗頭也有幾年了,當然知道他的脾性,主動的直接匯報起來:「經過與友鄰單位的合作,緊急排查搶修,已完全所有重點單位主要伺服器的漏洞修復,也形成了簡單的臨時規避解決方案。」

「據目前統計,其中國防科工等幾個重點單位的對外伺服器均有證據表明有通過該漏洞的入侵,部分資料有被非法訪問痕跡,總次數超過千次……

其中部分單位近期連番遭遇海量網絡攻擊疑似與此漏洞有關。」

本章未完,點選下一頁繼續閱讀。

目錄
返回頂部