关于log4j:Log4j-高危-Bug-已被连夜修复维护者为了实现向后兼容性未删除旧功能而导致漏洞

42次阅读

共计 1075 个字符,预计需要花费 3 分钟才能阅读完成。

上周,Apache Log4j2 曝出的近程代码执行破绽,在寰球范畴内造成了重大影响。

(相干浏览:
高危 Bug!Apache Log4j2 近程代码执行破绽:官网正加急修复中!
https://segmentfault.com/a/11…)

该破绽的忽然裸露,不仅给应用 Log4j2 的框架保护人员来了个措手不及,也让开发人员们一夜之间“修复”了该问题。

作为 Apache 软件根底日志服务的 PMC 成员,Volkan Yazıcı 对于本次事件作了回应。

12 月 11 日,Volkan 在推特发文示意:“Log4j 的保护人员们始终在不眠不休地钻研缓解措施,以修复 Bug、文档、CVE、查问回复等。但没有什么能阻止人们鞭挞咱们,因为咱们的工作没有失去报酬,因为咱们都不喜爱这个性能,但出于向后兼容性的思考须要保留它。”


(推特原文链接:https://twitter.com/yazicivo)

同时,Volkan 还附上了 Log4j 2.15.0 的相干链接:
https://logging.apache.org/lo…

以及对破绽的修复链接:
https://logging.apache.org/lo…

据他形容,自从该破绽被公开以来,保护人员始终在忙于修复该破绽,以及相应 bug、文档和 CVE 的保护工作,同时响应其他人的查问。

只管这些保护工作都是无报酬的,但他们还是受到了很多来自外界的严厉批评甚至指摘。

Volkan 提到,导致该破绽的旧性能实际上是要删除的(该破绽实质上是向 Log4j2 的查找办法中注入的 JNDI),但保留该性能是为了确保向后兼容性。

当然,也有人不批准 Volkan 的“向后兼容”准则。他示意,如果开发团队想要删除旧性能,他们基本不必犹豫,只须要做他们想做的事件;但如果应用该性能的用户认为它很重要,他们能够本人承当我的项目的工夫、精力和金钱老本,并自行保护。

Apache Log4j2 是一款基于 Java 的日志组件,该组件在业务零碎开发中宽泛用于记录无关程序输出和输入的日志信息,并且应用极其宽泛。在大多数状况下,开发人员会将用户输出导致的谬误音讯写入日志。

作为一个开源的底层组件,Log4j2 已被谷歌、苹果、亚马逊等许多大型互联网公司应用。

从 Volkan 推特上的评论中能够看出,不少人也才刚刚理解到,原来这些高市值、高利润的公司没有给这个根底组件提供任何反对,甚至连保护人员也都是无偿工作的。

理解到真实情况的网友们,也纷纷给保护人员们“隔空”送上了拥抱。有人就在 Volkan 推文下方评论称,“给 Log4J 的人送个拥抱吧。对他们来说,这肯定是一个十分蹩脚的星期五”。

正文完
 0