他还真不是自吹自擂。
李泽之所以说这个漏洞的攻击门槛低到令人发指真有原因,就只是一个简单的输入错误……比如在输入url时加入一个空格……就可以绕过各种各样的校验,直接在被访问的机器乃至一整个局域网内执行被预先设定好的任意内容,是任意内容。
什么读取文件等等那不过是轻而易举的事情。
Log4j2日志组件功能很强大,可惜对各类参数的判断不严谨。
总之,以温良曾经写代码时的那种模块化思维,很容易发现原生组件代码里定义的判断条件不严谨。
所以……按照后世阿里云方面的辩解,说初期不知道漏洞的严重性,属于公关术语。
跟技术一点关系没有。
纯粹是阿里系内部真的……有点烂。
不仅是上层没有相关心思,就连技术层面也可能没想过要通知国内主管单位,预防网络安全风险。
因为这是个发现以后就会知道很低级但很严重的错误。
…………
晚8点多,温良刚回到下榻酒店,那边厢老苗头的秘书应召来到了老苗家。
与秘书同来的还有一个工程师主管。
有亲自参与了此次严重漏洞处理过程。
老苗头面色缓和且儒雅,坐姿端庄大气,是那种大老应有的模样,不似约莫半小时前那种散漫样儿。
连此前有些散的头发也又变得一丝不苟了。
秘书跟着老苗头也有几年了,当然知道他的脾性,主动的直接汇报起来:“经过与友邻单位的合作,紧急排查抢修,已完全所有重点单位主要服务器的漏洞修复,也形成了简单的临时规避解决方案。”
“据目前统计,其中国防科工等几个重点单位的对外服务器均有证据表明有通过该漏洞的入侵,部分资料有被非法访问痕迹,总次数超过千次……
其中部分单位近期连番遭遇海量网络攻击疑似与此漏洞有关。”
“某单位可能有机密等级的电子文件被非法访问……”
一五一十的描述完毕后,秘书轻吸了一口气:“根据和友邻单位的初步共同研判,此次漏洞造成的潜在损失可能超过了棱镜。”
“这个漏洞之简单,攻击之深度……实在是过于罕见,据可靠消息,Apache方面会将此漏洞列为CVSS通用漏洞评分系统最高级别的10分,超危险。”
秘书汇报完毕后,看向一旁同来的工程师主管:“其它方面还请林工来补充。”
林工当仁不让,补充了重点:“经过系统性分析,此漏洞原理十分简单,一经发现即可轻易判断危险等级,常规情况下触发概念不大,但触发门槛十分低,总计只需要编写三行代码。”
“……此外,经友邻单位的综合信息汇总,基于星辰内核衍生而立的重点单位内部系统上因无法装载该漏洞日志组件,且因不支持触发漏洞的其中一个JNDI接口,从而完全无法被攻击,也包括所有以星辰内核衍生的操作系统产品;
其中单位试点使用于非关键服务的星辰云,也因此没有这个漏洞。”
“已较为常态使用的阿里云产品,则全部发现了这个漏洞,阿里云的维护工程师至今仍没有通报该漏洞,也没有进行临时规避解决……”
老苗头都忍不住在心中腹诽:“艹。”
他是真无语了。
怎么踏马能有这种单位!
他可是那么儒雅随和的人啊!
都忍不住生艹了。
随后,老苗头做出了决定:“既然已经形成了临时规避解决方案,也有了初步结论,即刻将风险通告给更广泛范围。”
“三小时后正式对外发公告。”
秘书依言记下,在斟酌中提出了自己的建议:“是否等到明天白天?”
老苗头直接否决:“没有必要再等了。”
之后,秘书先帮忙将林工送出了老苗家,然后又折返回去,他知道老苗头还有指示。