最新公告
  • 欢迎您光临欧资源网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 从哪里找钱来养活支持Log4j这类开源项目的志愿者们

    本文已更新,包含有关最新 Log4j 版本、新漏洞利用向量以及与所有 Java 版本相关的风险的详细信息。

    在广大赛车爱好者围观维斯塔潘与汉密尔顿的F1冠军争夺战的同时,大部分互联网公司却被一场突如其来的事件吓坏了。

    普通用户可能不会注意到,因为我们每天使用的 Twitter、Facebook、Gmail 和其他服务都没有停机。但就在最近gg修改器我的世界代码,Log4j 的开源技术中的一个 bug 引起了全球信息安全社区的恐慌。

    该漏洞已影响数十亿台设备,公司正争先恐后地安装修复程序;开源社区已经意识到了一个更深层次的问题——在哪里可以找到资金来支持支持像 Log4j 这样的开源项目的志愿者。

    在深入探讨这么多复杂的话题之前,让我们先简单了解一下 Log4j 技术的背景和安全问题。

    什么是 Log4j?

    Log4j 2 是一组基于 Java 的开源日志框架,是任何人都可以免费使用的 Apache Foundation 服务之一。许多企业使用此日志记录软件来跟踪其服务器(甚至客户端应用程序)上的各种活动。

    例如,当我们访问一个网站时,该记录器会记录我们的 IP 地址、浏览器和访问的页面。使用这些与活动相关的数据,企业可以解决其服务出现的任何问题。

    由于 Log4j 库基于 Java,因此该框架支持的数十亿台设备可能因安全漏洞而面临风险。

    Log4j 有什么问题?

    该漏洞上周被编为 CVE-2021-44228,允许攻击者通过特制字符串远程执行代码。由于 Log4j 的流行,网络犯罪分子可以轻松地操纵日志字符串来控制目标服务器或客户端。

    此错误的主要原因是某些版本的 Log4j 允许通过目录查找协议(LDAP 协议)执行任意文本。

    请注意非技术人员,这个#log4j 问题正在使整个互联网陷入危机。而这一切的关键是一个简单的“${jndi:ldap”字符串#Log4Shell#log4jRCE

    ⬇️

    — 艾米 | eq (@entropyqueen_) 2021 年 12 月 11 日

    根据彭博社最新发布的报告,该漏洞由阿里巴巴团队的一名安全研究员于 11 月 24 日首次向 Log4j 项目维护者报告。

    谁会受到影响?

    老实说,一个更简单的问法是“谁不影响它?” Log4j 的开源性质和广泛的兼容性使其成为一个出色的解决方案,包括 Apple、Microsoft、Steam、Twitter、百度和 Cloudflare 在内的许多制造商都在实际使用它。

    因此,一旦 Log4j 漏洞的消息一出,公司就会争先恐后地扫描他们的服务器,看看他们是否处于危险之中。

    通过使用 Java 日志库 Apache Log4j 对多台主机进行大规模扫描,结果证明它确实容易受到远程代码执行漏洞的攻击 ()。

    请通过我们的API查询“tags=CVE-2021-44228”获取源IP地址和其他IOC。#威胁

    — 坏包 (@bad_packets) 2021 年 12 月 10 日

    程序员还测试了各种站点和服务,以检查潜在的攻击范围;感兴趣的朋友可以点击这里查看完整榜单。

    图:从 IP 地址可以看出,Twitter 正在广泛使用 Log4j 服务

    好消息是,有媒体发现,很多公司都部署了多个防火墙来防御网络攻击。因此,即使某些服务器可能受到 Log4j 攻击活动的影响,其他安全系统也可以有效地阻止攻击。

    该问题最初是在 Minecraft 网站上发现的,研究人员在该网站上发现,将特定字符串传递给服务器,甚至通过游戏中的聊天框,都可能使系统处于攻击者的控制之下。网络基础设施制造商 Cloudflare 的首席执行官 Matthew Prince 在推特上表示,该公司将为所有客户提供一系列有针对性的保护,包括使用免费套餐的客户。

    我们已经确定#Log4J 问题相当严重,因此将尝试默认为所有@Cloudflare 客户提供至少某种程度的保护,包括不享受WAF 防火墙服务的免费客户。我们正在研究如何安全地实现保护目标。

    — 马修·普林斯 (@eastdakota) 2021 年 12 月 10 日

    值得一提的是,Log4j 甚至可能会影响一些运行 Java 服务器组件的智能设备。所以每个人的智能烤面包机也可能成为黑客的目标……尽管这似乎没有多大意义。

    数据安全平台 LunaSec 在其官方博文中也对该漏洞的潜在影响做了扎实的技术解释。

    最后,让我们在一条推文中总结一下 Log4j 的使用范围。

    你听说过 2020 年将登陆火星的见证号火星车吗?它还由 Apache Log4j 提供支持。

    #Apache #OpenSource #innovation #community #logging #services pic.twitter.com/aFX9JdquP1

    — Apache – ASF (@TheASF) 2021 年 6 月 4 日

    有哪些缓解措施?

    在漏洞暴露几个小时后,Apache 基金会的安全团队发布了新版本的 Log4j (v15.0),其中包含保护系统免受攻击的补丁。

    Minecraft 开发商 Mojang Studios 也发布了一份指南,帮助运行官方游戏客户端和游戏服务器的用户快速修复错误。该指南还警告说,运行第三方游戏客户端的其他用户可能需要等待相应供应商的修复。另外,瑞士政府的计算机响应小组 (CERT) 在 Twitter 上以图形形式发布了易于理解的预防指南。

    请注意:我们发现了大量针对#log4j 漏洞的扫描gg修改器我的世界代码,并决定发布这篇博文并提供指导:

    请立即安装补丁!pic.twitter.com/HSedlSed0V

    gg修改器我的世界代码_我的勇者gg修改代码_魔窟黑世界gg修改技能

    — GovCERT.ch (@GovCERT_CH) 2021 年 12 月 12 日

    Red Hat 和 VMWare 等供应商也发布了他们自己的错误修复程序。尊敬的服务器管理员,请单击此处参阅多篇服务器安全博客文章,了解详细的缓解策略。一位 GitHub 用户还制作了一个非常有用的补丁列表,其中列出了包括 Netflix、Citrix、Docker 和 Oracle 在内的各个供应商发布的补丁。

    Apache 还发布了 2.16.0 版本的 Log4j 框架。本次更新彻底去除邮件查找功能,消除安全威胁。此外,新版本禁用了对包含在消息或其参数中的查找信息的自动解析。

    这才刚刚开始

    尽管服务提供商和开源社区正在夜以继日地努力尝试保护所有使用 Log4j 的东西,但真正的威胁仍然笼罩在我们的头上。

    根据 Bleeping Computer 昨晚发布的一份报告,攻击者正在利用该漏洞安装加密货币挖掘软件、恶意软件,并部署大规模 DDoS(分布式拒绝服务)僵尸网络。微软的威胁情报团队还注意到,许多攻击者正在使用 Colbat Strike 渗透检测工具进行凭据盗窃。

    Sophos 高级研究员 Sean Gallagher 也表示,安全厂商检测到大量远程代码执行尝试:

    自 12 月 9 日以来,Sophos 已检测到数十万次使用 Log4Shell 漏洞的远程代码执行尝试。最初的尝试主要来自安全研究人员和潜在攻击者执行的概念验证 (PoC) 漏洞利用测试,以及自我的在线漏洞扫描-检查性质。此后,攻击者开始尝试安装挖矿程序,包括 Kinsing 矿工僵尸网络。

    最新情报还表明,攻击者正试图利用该漏洞窃取亚马逊云技术 (AWS) 账户中使用的密钥。

    安全研究员 Greg Linares 在推文中表示,恶意攻击者可能正在构建蠕虫病毒,通过 Log4j 漏洞攻击大量服务器,从而造成损害或索要赎金。

    #Log4J 根据我所见,有证据表明专门针对此漏洞的蠕虫将在未来 24 到 48 小时内出现。

    该病毒能够自行传播并在受感染的端点上设置自托管服务器。

    除了做流量和泄露文件,它还会有c2c的能力。

    — Greg Linares (@Laughing_Mantis) 2021 年 12 月 12 日

    美国网络安全和基础设施安全局(CISA)也发出警告,指出该漏洞“正被越来越多的恶意攻击者利用;鉴于影响的广度,网络防御方面面临紧迫挑战。” 建议机构组织禁用所有运行 Log4j 的面向外部的设备,并根据漏洞相关特征设置规则,以提高现有防火墙的安全级别。

    安全研究人员昨晚发现,Log4j 漏洞影响所有 Java 版本。因此,即使您运行的是最新版本的 Java,您仍然需要安装额外的 Log4j 修复程序。

    JNDI-Exploit-Kit 刚刚添加了对 LDAP 序列化有效负载的支持。因此,只要序列化有效负载中使用的类位于应用程序的类路径中,此漏洞就会影响*每个* java 版本。不要以为用最新版的java就安全了,请尽快更新你的log4j!pic.twitter.com/z3B2UolisR

    — 马尔西奥·阿尔梅达 (@marcioalm) 2021 年 12 月 13 日

    The Verge 上的一份报告指出,如果研究人员将设备名称更改为可以被利用的特定字符串,他们可以获得来自 Apple 和 Tesla 等服务器的 ping 权限。

    开源社区贡献者报酬过低的问题引起了公愤

    Log4j 漏洞的发现再次表明,全球最大的企业高度依赖免费和开源软件。这种依赖本质上不是问题,但开源社区中低薪贡献者的问题引起了愤怒。

    Google 的密码学家 Filippo Valsorda 在其个人博客中提到,修复 Log4j bug 的兼职维护者为项目做出了巨大贡献,但该项目在 GitHub 上只有三个赞助商愿意支付项目志愿者报酬。

    他还指出,贡献者通过 GitHub 或 Patreon 仅获得少量资金回报,但他们的开发往往支持数百万美元的业务。此外,这些重要系统的bug很可能会在瞬间颠覆整个互联网,我们没有理由对这些只是利用业余时间几乎免费贡献的平民英雄提出太多要求。

    这些维护人员正在修复可能花费数百万美元(甚至更多数量级)的严重错误。

    “我在业余时间学习 Log4j。”

    “一直梦想在开源领域全职工作。”

    “三个支持者正在资助@rgoers 的工作:迈克尔、格伦和马特。”

    我们在做什么伙计们…… pic.twitter.com/2hAxUWCjuC

    — Filippo ${jndi:ldap://filippo.io/x} Valsorda (@FiloSottile) 2021 年 12 月 10 日

    约翰霍普金斯大学密码学教授 Matthew Green 认为,开源行业需要一个真正广泛的开源库和技术列表,以便更多人能够参与到这些对互联网顺利运行至关重要的项目中。

    好吧,我想强调一下,如果你想解决这个问题,最紧迫的资源可能不是金钱。“能见度”更重要。我们都知道有问题,但我们不知道问题出在哪里。

    — 马修·格林 (@matthew_d_green) 2021 年 12 月 11 日

    安全公司 Chainguard 创始人 Dan Lorenc 表示,虽然企业愿意资助开源项目,但很难找到合适的关键项目,尤其是项目维护者自己。他还提到,理想情况下,该行业可以直接资助负责维护三个或四个项目的团队。

    听起来不现实,但真正的问题是如何分配,而不是如何筹集资金。毕竟,互联网行业是出了名的富有。

    企业有预算,愿意花钱,但时间特别短。不幸的是,找到真正需要帮助的项目,尤其是愿意用努力和投资换取金钱的开源维护者,才是真正的问题。pic.twitter.com/mFkOoOVYXn

    ——丹·洛伦克 (@lorenc_dan) 2021 年 12 月 12 日

    贡献者表示,他们从开源贡献中获得的报酬非常有限,仅靠这项工作勉强维持生计。这样的情况只能用悲哀来形容。

    希望这个问题最终能够唤醒行业对自发联合起来并愿意为保持互联网运行而努力工作的开源贡献者群体。我希望这场雷雨不仅会引起涟漪,也不会停留在人们的口头讨论上。

    最后,让我们用 XKCD 漫画来结束这次活动。

    站内大部分资源收集于网络,若侵犯了您的合法权益,请联系我们删除!
    欧资源网 » 从哪里找钱来养活支持Log4j这类开源项目的志愿者们

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    欧资源网
    一个高级程序员模板开发平台

    发表评论