發現世上最嚴重Bug,沒有得到嘉獎,而被工信部除名,這波操作只能說阿里吃相太難看,致國內互聯安全不顧,被除名在我看來都是輕的。作為一個程式設計師,自我感覺還是挺有發言權,畢竟自己也是加班修復了兩夜,才平息了這次危機。
這次的漏洞發生在日誌輸出上,大部分都用了log4j2,把WiFi名稱,電腦名稱改成Payload,就可以觸發0day漏洞,若是不第一時間修復點話,相當於把伺服器直接暴露在外,只要有外網誰都可以連線,獲取上面的資料和操作上面的資料。
自己也嘗試復現了一下這個Bug,僅僅需要一個行程式碼都輕鬆提權整個系統。這個漏洞的原理是透過JNDI來實現的,LDAP進行對應的操作,最終實現操作使用者系統。
就是這樣的一個bug,阿里在11月份就發現了,作為一個以java為主體的網際網路公司,第一時間沒有說將bug反饋給有關部門。當然告訴開源組織這個操作是沒有錯,但是不知道你有沒有想過,當你把漏洞交給開源組織後,相當於國內眾多企業都將會受到風險評估。普通的漏洞第一時間通知開源組織沒啥,大事這樣的史詩級別直接告訴,就有點說不過去了。
雖說直接告訴工信部並不能解決問題,但是工信部進行對應公示提醒,等大家都修復後,再將對應的bug放出,這樣大家都不用連夜加班。
此次事件也是給網際網路和安全公司提個醒,若是發現漏洞一定要第一時間提供給,捱打就要立正,希望阿里團隊日後能夠更好為網安做出貢獻。