Topic: 这几天全世界的网络安全人员都在忙着处理log4j漏洞，我都开了无数的会了。Apache竟然爆出这么大的核弹级bug。 @渥太华华人论坛:渥太华枫下论坛 The Rolia Forum of Ottawa

工作学习 / 学科技术 / 这几天全世界的网络安全人员都在忙着处理log4j漏洞，我都开了无数的会了。Apache竟然爆出这么大的核弹级bug。 -stanley(唱着歌破裸绞); 2021-12-17 (#14193787@0)

啥问题哈，咖啡喝太多了？ -manniangpai(盲打); 2021-12-17 (#14193901@0)
Apache帐下的东西很多是别人捐的，谷歌脸书都是捐献大户。Apache接手后只管维护。这次log4j的漏洞，这么快就有了patch，也算奇迹了。其实仔细看看，影响不是太大。首先微软的东西不受影响，其次新和太老的版本不受影响。当然还是有系统宕。 -piglet(小猪); 2021-12-17 {110} (#14193981@0) +1
我们想趁此机会关掉几个老系统未能如愿。我趁机整顿了自己的东西，拿着security的报告，把以前不好意思的事儿都做了😃

这个patch不算快。拖了2周多，而且第一个fix还是有问题。而且影响很大，很容易被利用。 -iamflying(叶和花); 2021-12-17 (#14194433@0)

这个bug存在很长时间了，被阿里的研究员发现，还是很了不起的。 -geekcode(文心雕码); 2021-12-17 (#14194084@0) +2
肯定也有别人更早知道，甚至是故意留下的，实际上过去很多应用系统设计都有很多后门方便修改 -giss(rr); 2021-12-17 (#14194157@0) +1
大概率是人家自己留的后门，这类东东没被发现的估计还有大把…… -guestagain(guest again); 2021-12-17 (#14194247@0)
我也跟瞎起哄了一把，建了几个TICKET，开了几个讨论会，强调了一下重要性，跟踪了一下进程，攒了些时间好来灌水 -ff2021(ff2021); 2021-12-17 (#14194275@0)
其实也不是多大事情，多好的机会赚钱啊。从15号到现在，各个厂家不停update什么产品受影响，最新看到IBM HMC都受牵连，只是这玩意通常都是不联网的，有洞也不用补。现在只是在评估有多少系统会在新年前真的需要补漏，其他放放，这漏洞看起来也有很长一段时间了。 -projects(pj); 2021-12-17 (#14194310@0)
网络安全人员怎么会处理这个问题，都是写application的处理，谁让你用了。我们的云上服务上周五已经动手修改了，周末已经全部修复，几万个application，周一通知客户是，大部分都不知道怎么回事，估计要很长时间才能修复。（政府的效率啊，周末休息，法律也不允许加班。） -sxffff(lookingforjob); 2021-12-17 (#14194715@0)

这个要有的话早就已经包括JNDI injection, 你说的是WAF吧，临时加上去？就算有了application也要改。 -sxffff(lookingforjob); 2021-12-18 (#14195203@0)

F5紧急发布了解决办法，在WAF上enable借JNDI attack signature，我在log中看到了很多被block掉的attack。当然，最终后台的application肯定也要升级。 -stanley(唱着歌破裸绞); 2021-12-19 (#14198125@0)

log4j的补丁是没完没了。这几天下来，已经第三次了。需要升级到2.17.0 -iamflying(叶和花); 2021-12-21 (#14204114@0)
log for j 2 -binghongcha76(一只大猫); 2021-12-22 {203} (#14206557@0)

:

@Ottawa