“怎麼樣，我們的損失大不大？”溫良臉上水靜無波，心緒平靜。</p>


    重視沒錯(cuò)，可反正事情已經(jīng)發(fā)生，怎麼都得接受，沒必要為難自己，麵對就完事了。</p>


    李澤爽朗的笑聲從聽筒中傳出：“不用著急，我們現(xiàn)在還是零損失！”</p>


    “嗯？”</p>


    “好奇吧？”</p>


    “當(dāng)然，老苗頭給我的消息，能嚴(yán)重到他都知道……”</p>


    “原來如此！”</p>


    說著，李澤收斂了笑意：“知道你身邊有人，排查也花了不少時(shí)間，就沒有著急聯(lián)係你，從目前的情況來看，已經(jīng)可以肯定我們會受到的影響微乎其微，可以忽略不計(jì)。”</p>


    接著李澤詳細(xì)解釋了情況：“我們所有對外的服務(wù)係統(tǒng)裏麵隻有早期Apache剛推出時(shí)用過這個(gè)日誌組件，後來因?yàn)槠溟_源特性我們棄用了。”</p>


    “其中，因?yàn)樾浅诫?yún)係統(tǒng)我們花了很大心血自主研發(fā)，幾乎所有第三方開源組件都隻是以作參照物而不會並入正式版，所以星辰雲(yún)服務(wù)等對外的企業(yè)級產(chǎn)品也不受影響。”</p>


    “而目前逐步進(jìn)入試點(diǎn)運(yùn)行的星辰服務(wù)係統(tǒng)更是甚少引入過第三方開源組件。”</p>


    “另一方麵，因?yàn)樾浅襟w係的完全自主研發(fā)性質(zhì)，對一些模塊的定義是與目前主流係統(tǒng)全然不同的，比如很大一部分適用於其它係統(tǒng)平臺的命令行乃至調(diào)用參數(shù)的方式等都存在一些定義層麵的不同……這當(dāng)時(shí)是因?yàn)橐��?guī)避各類專利侵權(quán)風(fēng)險(xiǎn)。”</p>


    “總之，得益於你最開始強(qiáng)調(diào)的合規(guī)性、自主性，我們所有的自主平臺在初期雖然走得十分艱難，需新造了一套體係，但也正因?yàn)槿绱耍�所以因與眾不同而安全。”</p>


    說完這些，李澤轉(zhuǎn)而說道：“根據(jù)集團(tuán)網(wǎng)絡(luò)安全與用戶隱私大部門下的網(wǎng)絡(luò)安全部門反饋，這個(gè)漏洞已被阿裏雲(yún)提交給了Apache，另據(jù)可靠消息Apache已經(jīng)開始測試補(bǔ)丁方案，不日將推出。”</p>


    “公司相關(guān)人員經(jīng)過海量分析，評估出了這個(gè)日誌組件漏洞的影響範(fàn)圍，比非常嚴(yán)重還要嚴(yán)重，預(yù)估是近年來發(fā)現(xiàn)的最嚴(yán)重的計(jì)算機(jī)漏洞！”</p>


    “攻擊門檻之低超乎想象，攻擊者能通過攻擊漏洞獲得的操作權(quán)限堪稱無限！而且據(jù)不完全統(tǒng)計(jì)，幾乎所有Java類框架都會用這個(gè)日誌組件，使用範(fàn)圍之廣也很罕見。”</p>


    聽完李澤簡短的描述，溫良笑了起來：“準(zhǔn)備準(zhǔn)備，阿裏係要遭大殃了。”</p>


    “怎麼說。”李澤沒有著急激動，連語氣都認(rèn)真了起來。</p>


    溫良耐心的迴答道：“阿裏雲(yún)發(fā)現(xiàn)了漏洞並報(bào)告給開發(fā)的行業(yè)組織Apache，哪怕隻是優(yōu)先報(bào)告，在後續(xù)交流中知道漏洞的影響範(fàn)圍有共享給包括工信在內(nèi)的相關(guān)主管單位，也沒事；</p>


    但阿裏雲(yún)沒有，不僅是發(fā)現(xiàn)時(shí)不共享，也不僅僅是知道嚴(yán)重情況後還不共享，哪怕是在工信現(xiàn)在已經(jīng)主動發(fā)現(xiàn)了漏洞的情況下，還是沒有通氣……</p>


    偏偏漏洞影響範(fàn)圍廣、攻擊門檻低、攻擊還堪稱無所不在，又是在這種關(guān)鍵時(shí)候，你說他不遭殃，誰遭殃？”</p>


    李澤很快想到了關(guān)鍵點(diǎn)：“印象中相關(guān)單位的流程不是很清晰，而且阿裏雲(yún)是普通企業(yè)，能找借口解釋吧？”</p>


    溫良反問：“你覺得以阿裏雲(yún)當(dāng)下的發(fā)展態(tài)勢，它家業(yè)務(wù)廣泛不？”</p>


    “明白了。”李澤這才興奮起來，“我會好好準(zhǔn)備的，你且等著看戲吧，我們在前期因?yàn)闆]法拿到專利授權(quán)、初期因?yàn)榘⒚览蚩ㄈ藶楣苁�得不到新授�?quán)所多花費(fèi)的每一分研發(fā)成本都會在不久的將來賺迴來！”</p>


    溫良倒是很平靜：“不要先出頭，等一等工信的公告，也別通知友商了，能通知他們的時(shí)候會有人主動通告的，我們不要多管閑事。”</p>


    李澤應(yīng)聲。</p>


    結(jié)束通話後，溫良翻了翻手機(jī)，查收了一封幾分鍾前才抄送給他的公司郵件，內(nèi)容是簡明扼要的描述了這個(gè)叫Log4j2的組件漏洞前因後果和影響範(fàn)圍。</p>


    沒有因郵件收件方可能不懂技術(shù)而縮略技術(shù)分析過程。</p>


    博浪的內(nèi)部流程本來就有一些規(guī)定，湖弄的事情不是沒有，而是隻要帶了腦子就不會把摻雜湖弄的事情抄送給溫良他們這些高管。</p>


    溫良他們是可能不懂技術(shù)，但偌大一個(gè)博浪，難道找不出一個(gè)懂技術(shù)的？</p>


    而且泛技術(shù)部門的人隻要帶了腦子上班，就應(yīng)當(dāng)清楚主要的兩個(gè)經(jīng)常在公司出沒的技術(shù)總工是創(chuàng)始人團(tuán)隊(duì)成員。</p>


    一個(gè)是李博文，一個(gè)是孫寶銀。</p>


    更別說另一創(chuàng)始人團(tuán)隊(duì)成員張鬱林是自研操作係統(tǒng)總工啊……這踏馬去湖弄技術(shù)內(nèi)容，比主動離職要更痛快一些。</p>


    事實(shí)上，讓溫良去敲代碼是真敲不出來，但讓他看技術(shù)流程原理……嗬嗬，你說他能懂不懂吧。</p>


    </p>


    這幾把東西如果毫無參照的情況下，確實(shí)模模湖湖，但真要有內(nèi)容擺在眼前，那是能輕易串起來的。</p>


    翻了三分鍾的樣子，溫良嘖嘖稱歎：“這都屬於慣性思維漏洞了，如果當(dāng)時(shí)我還在技術(shù)崗位，這玩意估計(jì)我有可能發(fā)現(xiàn)……”</p>


    “居然敢相信人類的輸入每次都無誤……嘖嘖嘖……”</p>


    他還真不是自吹自擂。</p>


    李澤之所以說這個(gè)漏洞的攻擊門檻低到令人發(fā)指真有原因，就隻是一個(gè)簡單的輸入錯(cuò)誤……比如在輸入url時(shí)加入一個(gè)空格……就可以繞過各種各樣的校驗(yàn)，直接在被訪問的機(jī)器乃至一整個(gè)局域網(wǎng)內(nèi)執(zhí)行被預(yù)先設(shè)定好的任意內(nèi)容，是任意內(nèi)容。</p>


    什麼讀取文件等等那不過是輕而易舉的事情。</p>


    Log4j2日誌組件功能很強(qiáng)大，可惜對各類參數(shù)的判斷不嚴(yán)謹(jǐn)。</p>


    總之，以溫良曾經(jīng)寫代碼時(shí)的那種模塊化思維，很容易發(fā)現(xiàn)原生組件代碼裏定義的判斷條件不嚴(yán)謹(jǐn)。</p>


    所以……按照後世阿裏雲(yún)方麵的辯解，說初期不知道漏洞的嚴(yán)重性，屬於公關(guān)術(shù)語。</p>


    跟技術(shù)一點(diǎn)關(guān)係沒有。</p>


    純粹是阿裏係內(nèi)部真的……有點(diǎn)爛。</p>


    不僅是上層沒有相關(guān)心思，就連技術(shù)層麵也可能沒想過要通知國內(nèi)主管單位，預(yù)防網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。</p>


    因?yàn)檫@是個(gè)發(fā)現(xiàn)以後就會知道很低級但很嚴(yán)重的錯(cuò)誤。</p>


    …………</p>


    晚8點(diǎn)多，溫良剛迴到下榻酒店，那邊廂老苗頭的秘書應(yīng)召來到了老苗家。</p>


    與秘書同來的還有一個(gè)工程師主管。</p>


    有親自參與了此次嚴(yán)重漏洞處理過程。</p>


    老苗頭麵色緩和且儒雅，坐姿端莊大氣，是那種大老應(yīng)有的模樣，不似約莫半小時(shí)前那種散漫樣兒。</p>


    連此前有些散的頭發(fā)也又變得一絲不茍了。</p>


    秘書跟著老苗頭也有幾年了，當(dāng)然知道他的脾性，主動的直接匯報(bào)起來：“經(jīng)過與友鄰單位的合作，緊急排查搶修，已完全所有重點(diǎn)單位主要服務(wù)器的漏洞修複，也形成了簡單的臨時(shí)規(guī)避解決方案。”</p>


    “據(jù)目前統(tǒng)計(jì)，其中國防科工等幾個(gè)重點(diǎn)單位的對外服務(wù)器均有證據(jù)表明有通過該漏洞的入侵，部分資料有被非法訪問痕跡，總次數(shù)超過千次……</p>


    其中部分單位近期連番遭遇海量網(wǎng)絡(luò)攻擊疑似與此漏洞有關(guān)。”</p>


    “某單位可能有機(jī)密等級的電子文件被非法訪問……”</p>


    一五一十的描述完畢後，秘書輕吸了一口氣：“根據(jù)和友鄰單位的初步共同研判，此次漏洞造成的潛在損失可能超過了棱鏡。”</p>


    “這個(gè)漏洞之簡單，攻擊之深度……實(shí)在是過於罕見，據(jù)可靠消息，Apache方麵會將此漏洞列為CVSS通用漏洞評分係統(tǒng)最高級別的10分，超危險(xiǎn)。”</p>


    秘書匯報(bào)完畢後，看向一旁同來的工程師主管：“其它方麵還請林工來補(bǔ)充。”</p>


    林工當(dāng)仁不讓，補(bǔ)充了重點(diǎn)：“經(jīng)過係統(tǒng)性分析，此漏洞原理十分簡單，一經(jīng)發(fā)現(xiàn)即可輕易判斷危險(xiǎn)等級，常規(guī)情況下觸發(fā)概念不大，但觸發(fā)門檻十分低，總計(jì)隻需要編寫三行代碼。”</p>


    “……此外，經(jīng)友鄰單位的綜合信息匯總，基於星辰內(nèi)核衍生而立的重點(diǎn)單位內(nèi)部係統(tǒng)上因無法裝載該漏洞日誌組件，且因不支持觸發(fā)漏洞的其中一個(gè)JNDI接口，從而完全無法被攻擊，也包括所有以星辰內(nèi)核衍生的操作係統(tǒng)產(chǎn)品；</p>


    其中單位試點(diǎn)使用於非關(guān)鍵服務(wù)的星辰雲(yún)，也因此沒有這個(gè)漏洞。”</p>


    “已較為常態(tài)使用的阿裏雲(yún)產(chǎn)品，則全部發(fā)現(xiàn)了這個(gè)漏洞，阿裏雲(yún)的維護(hù)工程師至今仍沒有通報(bào)該漏洞，也沒有進(jìn)行臨時(shí)規(guī)避解決……”</p>


    老苗頭都忍不住在心中腹誹：“艸。”</p>


    他是真無語了。</p>


    怎麼踏馬能有這種單位！</p>


    他可是那麼儒雅隨和的人啊！</p>


    都忍不住生艸了。</p>


    隨後，老苗頭做出了決定：“既然已經(jīng)形成了臨時(shí)規(guī)避解決方案，也有了初步結(jié)論，即刻將風(fēng)險(xiǎn)通告給更廣泛範(fàn)圍。”</p>


    “三小時(shí)後正式對外發(fā)公告。”</p>


    秘書依言記下，在斟酌中提出了自己的建議：“是否等到明天白天？”</p>


    老苗頭直接否決：“沒有必要再等了。”</p>


    之後，秘書先幫忙將林工送出了老苗家，然後又折返迴去，他知道老苗頭還有指示。</p>


    老苗頭直接安排：“明天上午發(fā)起個(gè)會議，商議信息安全風(fēng)險(xiǎn)規(guī)範(fàn)建設(shè)、以及商量如何組建常態(tài)化信息安全防範(fàn)組織。”</p>


    “公告中要體現(xiàn)出對阿裏雲(yún)的處罰決定嗎？”秘書問了個(gè)特別的問題。</p>


    老苗頭搖頭：“等大家商量之後再決定。”</p>


    最後又說了句：“把星辰、星辰雲(yún)的表現(xiàn)結(jié)果告訴溫良。”</p>


    秘書再次點(diǎn)頭。</p>


    …………</p>


    稍晚些時(shí)候，溫良就收到了信息通知。</p>


    溫良又通知了李澤，讓他隨時(shí)準(zhǔn)備出擊。</p>


    如此這般，因?yàn)橐粋�(gè)漏洞，這個(gè)前半夜國內(nèi)無數(shù)互聯(lián)網(wǎng)公司、信息科技公司的技術(shù)支撐部門全都忙成了一鍋粥。</p>


    盡管損失可能已經(jīng)造成，但也正因?yàn)榇耍�必須得抓緊每一分鍾趕緊把漏洞處理幹淨(jìng)，別再造成新?lián)p失。</p>


    不能說一個(gè)人黑進(jìn)來是黑，十個(gè)人黑進(jìn)來也是黑這種叼話。</p>


    隨後，深夜11點(diǎn)多，工信下屬網(wǎng)安局發(fā)布了工作動態(tài)公告。</p>


    《關(guān)於阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示》</p>


    公告內(nèi)容表示：</p>


    『阿帕奇(Apache)Log4j2組件是基於Java語言的開源日誌框架，被廣泛用於業(yè)務(wù)係統(tǒng)開發(fā)。近日，阿裏雲(yún)計(jì)算有限公司發(fā)現(xiàn)阿帕奇Log4j2組件存在遠(yuǎn)程代碼執(zhí)行漏洞，並將漏洞情況告知阿帕奇軟件基金會……</p>


    10月25日，網(wǎng)安下屬職員日常巡查發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞，已開展漏洞風(fēng)險(xiǎn)分析與排查及修複……</p>


    該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害，屬於高危漏洞……</p>


    為降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞官方補(bǔ)丁發(fā)布，現(xiàn)將臨時(shí)解決方案下發(fā)。</p>


    網(wǎng)安將持續(xù)組織開展漏洞處置工作，防範(fàn)網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險(xiǎn)，維護(hù)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全……』</p>


    深夜發(fā)布公告這一舉動，自然很快觸動了各類群體。</p>


    也很快被廣泛傳播。</p>


    引發(fā)了夜貓子吃瓜網(wǎng)友的各類談?wù)摗?lt;/p>


    很快，向來擅長於熬夜的程序猿們紛紛冒泡，通過各種渠道表達(dá)了對事件的關(guān)注。</p>


    網(wǎng)友們也聊得熱火朝天。</p>


    “這次工信反應(yīng)好快啊，居然還完成了臨時(shí)解決方案，有點(diǎn)意外。”</p>


    “我文科生不懂這些東西，不過從公告中發(fā)現(xiàn)了個(gè)比較有意思的點(diǎn)，這漏洞是阿裏雲(yún)發(fā)現(xiàn)的，但隻通告了阿帕奇，沒有通告網(wǎng)安，還是網(wǎng)安自己發(fā)現(xiàn)的，有沒有懂行的說一說這個(gè)漏洞到底有多大影響？”</p>


    禿頭是我身為強(qiáng)者的尊嚴(yán)：“剛閱讀了臨時(shí)解決方案和漏洞情況，影響範(fàn)圍怎麼說呢……隻要是聯(lián)網(wǎng)機(jī)器，隻要使用了這個(gè)組件，底褲都能被看光的程度，據(jù)我所知，這個(gè)Log4j2是去年阿帕奇重點(diǎn)推出的日誌組件項(xiàng)目；</p>


    目的是為了應(yīng)對加入阿帕奇又退出阿帕奇並開發(fā)了Log4j的作者新作Slf4j……總之，因?yàn)榘⑴疗娼M織下的Apache是全世界排名第一的web服務(wù)器，所以嘛……Log4j2現(xiàn)在的使用範(fàn)圍你懂的。”</p>


    熬夜是我的保護(hù)色：“隻能說嚇出一身冷汗，我反正是感覺有點(diǎn)完?duì)僮恿恕！?lt;/p>


    每獻(xiàn)祭一根頭發(fā)即可技術(shù)+1：“我發(fā)現(xiàn)了個(gè)有意思的事情，博浪可能是此次漏洞中的最佳躺贏選手，出於好奇，我剛才自建環(huán)境複現(xiàn)漏洞，因?yàn)槲疫�比較喜歡新鮮事物，所以我有一臺星海工作站……嚐試搭建環(huán)境時(shí)發(fā)現(xiàn)星辰桌麵係統(tǒng)不支持這個(gè)日誌組件，官方文檔中有自帶日誌組件，也不支持JNDI接口；</p>


    有意思的是，我隨後打開‘星辰靈境’運(yùn)行Windows，成功複現(xiàn)漏洞，並且執(zhí)行了攻擊操作……</p>


    好在‘星辰靈境’是通俗的特別沙盒模式運(yùn)行，可以通過攻擊隨意操作運(yùn)行的Windows係統(tǒng)任意內(nèi)容，包括讀取文件，但不會影響到主係統(tǒng)星辰桌麵，換句話說，無論怎麼搞，星辰類係統(tǒng)不受這個(gè)超罕見超危險(xiǎn)漏洞影響。”</p>


    我是每天睡不著所以晚上吃瓜的選手：“6666，還有這種操作，那豈不是說星辰係統(tǒng)是目前全球最安全係統(tǒng)？”</p>


    “我覺得吧，我終於找到了網(wǎng)上所有批評博浪重複造輪子的反擊方式！</p>


    ！”</p>


    “……”</p>


    -</p>