共计 2358 个字符,预计需要花费 6 分钟才能阅读完成。
近日,cURL 的作者 Daniel Stenberg 公布的一篇推文引起了热议。文中,他礼貌的“回怼”了来自 500 强公司对其技术支持“白嫖”的无理要求——“要么付钱,要么闭嘴!”
据悉,该事件的起因是一家美国《财产》500 强公司因去年 12 月份的 Apache Log4j 破绽事件,而发来了一封电子邮件(该公司或其客户可能正在应用 cURL)询问一系列问题,以理解 cURL 是否依赖于 Log4j,并要求 cURL 的作者须在收到这封邮件的 24 小时内尽快、收费地回复。
该邮件原文下方,这家财产 500 强公司(以 NNNN 代表)还列出了一系列有待 cURL 的作者 Daniel Stenberg 答复的问题:
贵公司是否产生过任何经证实的安全事件?
如果有,哪些应用程序、产品、服务和相干版本受到影响?
是否有任何 NNNN 的产品和服务受到影响?
NNNN 非公开信息或个人信息是否受到影响?
如果是,请立刻向 NNNN 提供受影响信息的细节。
实现补救措施的时间表是什么?列出这些步骤,并包含每个步骤的日期。
须要 NNNN 采取什么口头来实现这一补救措施?
……
收到这封邮件之后,cURL 的作者 Daniel Stenberg 感到非常好笑,因为他从未参加过任何 Log4j 的开发工作,也就是他和这件事件没有一点儿关系。
但既然邮件里要求他必须尽快回复,因而他也礼貌而“克服”的做了回答:“只有咱们签订了反对合同,我就会立刻回信”。同时,他也将对该事件放在了推特上“吐槽”:
“如果你是一家价值数十亿美元的公司,当你关怀 Log4j 的时候,为什么不给那些你从未领取过任何费用的 OSS 作者发邮件要求他们在 24 小时内收费回复大量信息并出示收到的邮件呢?”
cURL 作者“回怼”:邮件里的内容无知水平令人震惊
可能是这件事件真的有点太莫名其妙了,Daniel Stenberg 随后还专门写了一篇博文评估这件事件:
“2022 年 1 月 21 日星期五,我收到了这封电子邮件。我在推特上发了这条音讯,而后来到了。
这封邮件来自一家价值数十亿美元的《财产》500 强公司,该公司显然可能会应用蕴含我的代码的产品,或者他们可能有这样的客户。谁晓得呢?
我猜他们这样做是出于法规听从性的起因,他们“遗记”了他们的开源组件不是由“合作伙伴”主动提供的,他们能够简略地要求提供这些信息。
我很简短地回复了这封邮件,并示意一旦咱们签订了反对合同,我很乐意回复详细信息。
我认为这可能是开源金字塔模式的一个很好的例子,高层的人基本不思考如何保护底层。不必放心房子所在的高空就能够盖房子。”
……
“这封邮件中显示的无知和能干水平令人震惊。
尽管他们甚至没有明确阐明他们应用的是什么产品,但我所波及的任何代码或受版权保护的代码都不会应用 log4j,任何老手或更好的工程师都能够轻松地找到。
在电子邮件的图像版本中,我填写了姓名字段,以便更好地匿名发件人,在上面的文本中,我将其替换为 NNNN。(是的,十分奇怪的是,他们当初向 log4j 发送申请,显然曾经很晚了。)”
在 Daniel Stenberg 的推特和博客帖子中,他删除了该 500 强公司的名字,并给出了理由:我可能有势力通知你他们是谁,但我还是不违心。(尤其是如果我能与他们签订一份无利的商业合同的状况下)。
cURL 作者强调:与 Log4j 事件“毫无关系”
工夫回到去年 12 月 9 日,Apache Log4j 日志库中发现了一个破绽。该库通常用于 Java/J2EE 利用程序开发我的项目,以及基于 Java/J2EE 的现成软件解决方案的发布者。
Log4j 包含一种搜寻机制,能够用来通过格局字符串中的非凡语法进行查问。例如,它能够用于通过 $Java:version 等申请 Java 环境版本等各种参数。而后,通过在字符串中指定 jndi 键,搜寻机制应用 jndi API。默认状况下,所有申请都应用前缀 java:comp/env/*;然而,作者曾经实现了在键中应用冒号来应用自定义前缀的选项。这就是破绽所在:如果 jndi:ldap://is 作为密钥,该申请将发送到指定的 LDAP 服务器(也能够应用其余通信协议,如 LDAP、DNS 和 RMI)。
因而,由攻击者管制的近程服务器可能会将对象发送回易受攻击的服务器,从而可能导致在零碎中执行任意代码或泄露机密数据。攻击者只需通过将该字符串写入日志文件的机制发送一个非凡字符串,而后由 Log4j 库解决。这能够通过简略的 HTTP 申请实现,如通过 web 表单、数据字段等发送申请,或应用服务器端日志记录的任何其余类型的交互。
这种脆弱性被认为是过来十年中最重要和最重大的。
对此,cURL 的作者提出了质疑:
cURL(client-URL-request-library:URL-request-library for clients 或 see-URL:see-URL)是一个命令行界面,用于检索计算机网络可拜访的资源的内容。资源是应用 URL 指定的,并且必须是软件反对的类型。该软件容许用户创立或批改资源(与 wget 不同),因而能够将其用作 REST 客户端。
cURL 程序实现了用户界面,基于用 C 语言开发的 libcurl 软件库。因而,心愿在程序中具备网络拜访性能的开发人员能够拜访该库。接口曾经用多种语言创立(C++、Java、.NET、Perl、PHP、Ruby…)。
La bibliothque 反对文件、FTP、FTPS、Gopher、HTTP、HTTPS、IMAP、IMAPS、LDAP、LDAP、POP3、POP3、RTSP、SCP、SFTP、SMB、SMB、SMTP、SMTPS、Telnet 等 TFTP 协定。
能够看得出,cURL 开源代码与 Log4j 事件毫不相干。尽管如此,此次事件里,cURL 的作者 Daniel Stenberg 仍然在 Log4j 破绽的背景下被一家《财产》500 强公司分割到了。