首頁 > 現代都市 > 我的博浪人生 > 第475章 完全躺贏的博浪

第475章 完全躺贏的博浪(2/2)

目錄

其中部分單位近期連番遭遇海量網絡攻擊疑似與此漏洞有關。」

「某單位可能有機密等級的電子文件被非法訪問……」

一五一十的描述完畢後,秘書輕吸了一口氣:「根據和友鄰單位的初步共同研判,此次漏洞造成的潛在損失可能超過了稜鏡。」

「這個漏洞之簡單,攻擊之深度……實在是過於罕見,據可靠消息,Apache方面會將此漏洞列為CVSS通用漏洞評分系統最高級別的10分,超危險。」

秘書匯報完畢後,看向一旁同來的工程師主管:「其它方面還請林工來補充。」

林工當仁不讓,補充了重點:「經過系統性分析,此漏洞原理十分簡單,一經發現即可輕易判斷危險等級,常規情況下觸發概念不大,但觸發門檻十分低,總計只需要編寫三行代碼。」

「……此外,經友鄰單位的綜合信息匯總,基於星辰內核衍生而立的重點單位內部系統上因無法裝載該漏洞日誌組件,且因不支持觸發漏洞的其中一個JNDI接口,從而完全無法被攻擊,也包括所有以星辰內核衍生的作業系統產品;

其中單位試點使用於非關鍵服務的星辰雲,也因此沒有這個漏洞。」

「已較為常態使用的阿里雲產品,則全部發現了這個漏洞,阿里雲的維護工程師至今仍沒有通報該漏洞,也沒有進行臨時規避解決……」

老苗頭都忍不住在心中腹誹:「艹。」

他是真無語了。

怎麼踏馬能有這種單位!

他可是那麼儒雅隨和的人啊!

都忍不住生艹了。

隨後,老苗頭做出了決定:「既然已經形成了臨時規避解決方案,也有了初步結論,即刻將風險通告給更廣泛範圍。」

「三小時後正式對外發公告。」

秘書依言記下,在斟酌中提出了自己的建議:「是否等到明天白天?」

老苗頭直接否決:「沒有必要再等了。」

之後,秘書先幫忙將林工送出了老苗家,然後又折返回去,他知道老苗頭還有指示。

老苗頭直接安排:「明天上午發起個會議,商議信息安全風險規範建設、以及商量如何組建常態化信息安全防範組織。」

「公告中要體現出對阿里雲的處罰決定嗎?」秘書問了個特別的問題。

老苗頭搖頭:「等大家商量之後再決定。」

最後又說了句:「把星辰、星辰雲的表現結果告訴溫良。」

秘書再次點頭。

…………

稍晚些時候,溫良就收到了信息通知。

溫良又通知了李澤,讓他隨時準備出擊。

如此這般,因為一個漏洞,這個前半夜國內無數網際網路公司、信息科技公司的技術支撐部門全都忙成了一鍋粥。

儘管損失可能已經造成,但也正因為此,必須得抓緊每一分鐘趕緊把漏洞處理乾淨,別再造成新損失。

不能說一個人黑進來是黑,十個人黑進來也是黑這種叼話。

隨後,深夜11點多,工信下屬網安局發布了工作動態公告。

《關於阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示》

公告內容表示:

『阿帕奇(Apache)Log4j2組件是基於Java語言的開源日誌框架,被廣泛用於業務系統開發。近日,阿里雲計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞,並將漏洞情況告知阿帕奇軟體基金會……

10月25日,網安下屬職員日常巡查發現阿帕奇Log4j2組件存在嚴重安全漏洞,已開展漏洞風險分析與排查及修復……

該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞……

為降低網絡安全風險,提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞官方補丁發布,現將臨時解決方案下發。

網安將持續組織開展漏洞處置工作,防範網絡產品安全漏洞風險,維護公共網際網路網絡安全……』

深夜發布公告這一舉動,自然很快觸動了各類群體。

也很快被廣泛傳播。

引發了夜貓子吃瓜網友的各類談論。

很快,向來擅長於熬夜的程序猿們紛紛冒泡,通過各種渠道表達了對事件的關注。

網友們也聊得熱火朝天。

「這次工信反應好快啊,居然還完成了臨時解決方案,有點意外。」

「我文科生不懂這些東西,不過從公告中發現了個比較有意思的點,這漏洞是阿里雲發現的,但只通告了阿帕奇,沒有通告網安,還是網安自己發現的,有沒有懂行的說一說這個漏洞到底有多大影響?」

禿頭是我身為強者的尊嚴:「剛閱讀了臨時解決方案和漏洞情況,影響範圍怎麼說呢……只要是聯網機器,只要使用了這個組件,底褲都能被看光的程度,據我所知,這個Log4j2是去年阿帕奇重點推出的日誌組件項目;

目的是為了應對加入阿帕奇又退出阿帕奇並開發了Log4j的作者新作Slf4j……總之,因為阿帕奇組織下的Apache是全世界排名第一的web伺服器,所以嘛……Log4j2現在的使用範圍你懂的。」

熬夜是我的保護色:「只能說嚇出一身冷汗,我反正是感覺有點完犢子了。」

每獻祭一根頭髮即可技術+1:「我發現了個有意思的事情,博浪可能是此次漏洞中的最佳躺贏選手,出於好奇,我剛才自建環境復現漏洞,因為我還比較喜歡新鮮事物,所以我有一台星海工作站……嘗試搭建環境時發現星辰桌面系統不支持這個日誌組件,官方文檔中有自帶日誌組件,也不支持JNDI接口;

有意思的是,我隨後打開『星辰靈境』運行Windows,成功復現漏洞,並且執行了攻擊操作……

好在『星辰靈境』是通俗的特別沙盒模式運行,可以通過攻擊隨意操作運行的Windows系統任意內容,包括讀取文件,但不會影響到主系統星辰桌面,換句話說,無論怎麼搞,星辰類系統不受這個超罕見超危險漏洞影響。」

我是每天睡不著所以晚上吃瓜的選手:「6666,還有這種操作,那豈不是說星辰系統是目前全球最安全系統?」

「我覺得吧,我終於找到了網上所有批評博浪重複造輪子的反擊方式!!!」

「……」

-

目錄
返回頂部