“怎么樣，我們的損失大不大？”溫良臉上水靜無(wú)波，心緒平靜。

    重視沒(méi)錯，可反正事情已經(jīng)發(fā)生，怎么都得接受，沒(méi)必要為難自己，面對就完事了。

    李澤爽朗的笑聲從聽(tīng)筒中傳出：“不用著(zhù)急，我們現在還是零損失！”

    “嗯？”

    “好奇吧？”

    “當然，老苗頭給我的消息，能?chē)乐氐剿贾馈?/br>
    “原來(lái)如此！”

    說(shuō)著(zhù)，李澤收斂了笑意：“知道你身邊有人，排查也花了不少時(shí)間，就沒(méi)有著(zhù)急聯(lián)系你，從目前的情況來(lái)看，已經(jīng)可以肯定我們會(huì )受到的影響微乎其微，可以忽略不計?！?/br>
    接著(zhù)李澤詳細解釋了情況：“我們所有對外的服務(wù)系統里面只有早期A(yíng)pache剛推出時(shí)用過(guò)這個(gè)日志組件，后來(lái)因為其開(kāi)源特性我們棄用了?！?/br>
    “其中，因為星辰云系統我們花了很大心血自主研發(fā)，幾乎所有第三方開(kāi)源組件都只是以作參照物而不會(huì )并入正式版，所以星辰云服務(wù)等對外的企業(yè)級產(chǎn)品也不受影響?！?/br>
    “而目前逐步進(jìn)入試點(diǎn)運行的星辰服務(wù)系統更是甚少引入過(guò)第三方開(kāi)源組件?！?/br>
    “另一方面，因為星辰體系的完全自主研發(fā)性質(zhì)，對一些模塊的定義是與目前主流系統全然不同的，比如很大一部分適用于其它系統平臺的命令行乃至調用參數的方式等都存在一些定義層面的不同……這當時(shí)是因為要規避各類(lèi)專(zhuān)利侵權風(fēng)險?！?/br>
    “總之，得益于你最開(kāi)始強調的合規性、自主性，我們所有的自主平臺在初期雖然走得十分艱難，需新造了一套體系，但也正因為如此，所以因與眾不同而安全?！?/br>
    說(shuō)完這些，李澤轉而說(shuō)道：“根據集團網(wǎng)絡(luò )安全與用戶(hù)隱私大部門(mén)下的網(wǎng)絡(luò )安全部門(mén)反饋，這個(gè)漏洞已被阿里云提交給了Apache，另?yè)煽肯pache已經(jīng)開(kāi)始測試補丁方案，不日將推出?！?/br>
    “公司相關(guān)人員經(jīng)過(guò)海量分析，評估出了這個(gè)日志組件漏洞的影響范圍，比非常嚴重還要嚴重，預估是近年來(lái)發(fā)現的最嚴重的計算機漏洞！”

    “攻擊門(mén)檻之低超乎想象，攻擊者能通過(guò)攻擊漏洞獲得的cao作權限堪稱(chēng)無(wú)限！而且據不完全統計，幾乎所有Java類(lèi)框架都會(huì )用這個(gè)日志組件，使用范圍之廣也很罕見(jiàn)?！?/br>
    聽(tīng)完李澤簡(jiǎn)短的描述，溫良笑了起來(lái)：“準備準備，阿里系要遭大殃了?！?/br>
    “怎么說(shuō)?！崩顫蓻](méi)有著(zhù)急激動(dòng)，連語(yǔ)氣都認真了起來(lái)。

    溫良耐心的回答道：“阿里云發(fā)現了漏洞并報告給開(kāi)發(fā)的行業(yè)組織Apache，哪怕只是優(yōu)先報告，在后續交流中知道漏洞的影響范圍有共享給包括工信在內的相關(guān)主管單位，也沒(méi)事；

    但阿里云沒(méi)有，不僅是發(fā)現時(shí)不共享，也不僅僅是知道嚴重情況后還不共享，哪怕是在工信現在已經(jīng)主動(dòng)發(fā)現了漏洞的情況下，還是沒(méi)有通氣……

    偏偏漏洞影響范圍廣、攻擊門(mén)檻低、攻擊還堪稱(chēng)無(wú)所不在，又是在這種關(guān)鍵時(shí)候，你說(shuō)他不遭殃，誰(shuí)遭殃？”

    李澤很快想到了關(guān)鍵點(diǎn)：“印象中相關(guān)單位的流程不是很清晰，而且阿里云是普通企業(yè)，能找借口解釋吧？”

    溫良反問(wèn)：“你覺(jué)得以阿里云當下的發(fā)展態(tài)勢，它家業(yè)務(wù)廣泛不？”

    “明白了?！崩顫蛇@才興奮起來(lái)，“我會(huì )好好準備的，你且等著(zhù)看戲吧，我們在前期因為沒(méi)法拿到專(zhuān)利授權、初期因為阿美莉卡人為管束得不到新授權所多花費的每一分研發(fā)成本都會(huì )在不久的將來(lái)賺回來(lái)！”

    溫良倒是很平靜：“不要先出頭，等一等工信的公告，也別通知友商了，能通知他們的時(shí)候會(huì )有人主動(dòng)通告的，我們不要多管閑事?！?/br>
    李澤應聲。

    結束通話(huà)后，溫良翻了翻手機，查收了一封幾分鐘前才抄送給他的公司郵件，內容是簡(jiǎn)明扼要的描述了這個(gè)叫Log4j2的組件漏洞前因后果和影響范圍。

    沒(méi)有因郵件收件方可能不懂技術(shù)而縮略技術(shù)分析過(guò)程。

    博浪的內部流程本來(lái)就有一些規定，湖弄的事情不是沒(méi)有，而是只要帶了腦子就不會(huì )把摻雜湖弄的事情抄送給溫良他們這些高管。

    溫良他們是可能不懂技術(shù)，但偌大一個(gè)博浪，難道找不出一個(gè)懂技術(shù)的？

    而且泛技術(shù)部門(mén)的人只要帶了腦子上班，就應當清楚主要的兩個(gè)經(jīng)常在公司出沒(méi)的技術(shù)總工是創(chuàng )始人團隊成員。

    一個(gè)是李博文，一個(gè)是孫寶銀。

    更別說(shuō)另一創(chuàng )始人團隊成員張郁林是自研cao作系統總工啊……這踏馬去湖弄技術(shù)內容，比主動(dòng)離職要更痛快一些。

    事實(shí)上，讓溫良去敲代碼是真敲不出來(lái)，但讓他看技術(shù)流程原理……呵呵，你說(shuō)他能懂不懂吧。

    這幾把東西如果毫無(wú)參照的情況下，確實(shí)模模湖湖，但真要有內容擺在眼前，那是能輕易串起來(lái)的。

    翻了三分鐘的樣子，溫良嘖嘖稱(chēng)嘆：“這都屬于慣性思維漏洞了，如果當時(shí)我還在技術(shù)崗位，這玩意估計我有可能發(fā)現……”

    “居然敢相信人類(lèi)的輸入每次都無(wú)誤……嘖嘖嘖……”

    他還真不是自吹自擂。

    李澤之所以說(shuō)這個(gè)漏洞的攻擊門(mén)檻低到令人發(fā)指真有原因，就只是一個(gè)簡(jiǎn)單的輸入錯誤……比如在輸入url時(shí)加入一個(gè)空格……就可以繞過(guò)各種各樣的校驗，直接在被訪(fǎng)問(wèn)的機器乃至一整個(gè)局域網(wǎng)內執行被預先設定好的任意內容，是任意內容。

    什么讀取文件等等那不過(guò)是輕而易舉的事情。

    Log4j2日志組件功能很強大，可惜對各類(lèi)參數的判斷不嚴謹。

    總之，以溫良曾經(jīng)寫(xiě)代碼時(shí)的那種模塊化思維，很容易發(fā)現原生組件代碼里定義的判斷條件不嚴謹。

    所以……按照后世阿里云方面的辯解，說(shuō)初期不知道漏洞的嚴重性，屬于公關(guān)術(shù)語(yǔ)。

    跟技術(shù)一點(diǎn)關(guān)系沒(méi)有。

    純粹是阿里系內部真的……有點(diǎn)爛。

    不僅是上層沒(méi)有相關(guān)心思，就連技術(shù)層面也可能沒(méi)想過(guò)要通知國內主管單位，預防網(wǎng)絡(luò )安全風(fēng)險。

    因為這是個(gè)發(fā)現以后就會(huì )知道很低級但很?chē)乐氐腻e誤。

    …………

    晚8點(diǎn)多，溫良剛回到下榻酒店，那邊廂老苗頭的秘書(shū)應召來(lái)到了老苗家。

    與秘書(shū)同來(lái)的還有一個(gè)工程師主管。

    有親自參與了此次嚴重漏洞處理過(guò)程。

    老苗頭面色緩和且儒雅，坐姿端莊大氣，是那種大老應有的模樣，不似約莫半小時(shí)前那種散漫樣兒。

    連此前有些散的頭發(fā)也又變得一絲不茍了。

    秘書(shū)跟著(zhù)老苗頭也有幾年了，當然知道他的脾性，主動(dòng)的直接匯報起來(lái)：“經(jīng)過(guò)與友鄰單位的合作，緊急排查搶修，已完全所有重點(diǎn)單位主要服務(wù)器的漏洞修復，也形成了簡(jiǎn)單的臨時(shí)規避解決方案?！?/br>
    “據目前統計，其中國防科工等幾個(gè)重點(diǎn)單位的對外服務(wù)器均有證據表明有通過(guò)該漏洞的入侵，部分資料有被非法訪(fǎng)問(wèn)痕跡，總次數超過(guò)千次……

    其中部分單位近期連番遭遇海量網(wǎng)絡(luò )攻擊疑似與此漏洞有關(guān)?！?/br>
    “某單位可能有機密等級的電子文件被非法訪(fǎng)問(wèn)……”

    一五一十的描述完畢后，秘書(shū)輕吸了一口氣：“根據和友鄰單位的初步共同研判，此次漏洞造成的潛在損失可能超過(guò)了棱鏡?！?/br>
    “這個(gè)漏洞之簡(jiǎn)單，攻擊之深度……實(shí)在是過(guò)于罕見(jiàn)，據可靠消息，Apache方面會(huì )將此漏洞列為CVSS通用漏洞評分系統最高級別的10分，超危險?！?/br>
    秘書(shū)匯報完畢后，看向一旁同來(lái)的工程師主管：“其它方面還請林工來(lái)補充?！?/br>
    林工當仁不讓?zhuān)a充了重點(diǎn)：“經(jīng)過(guò)系統性分析，此漏洞原理十分簡(jiǎn)單，一經(jīng)發(fā)現即可輕易判斷危險等級，常規情況下觸發(fā)概念不大，但觸發(fā)門(mén)檻十分低，總計只需要編寫(xiě)三行代碼?！?/br>
    “……此外，經(jīng)友鄰單位的綜合信息匯總，基于星辰內核衍生而立的重點(diǎn)單位內部系統上因無(wú)法裝載該漏洞日志組件，且因不支持觸發(fā)漏洞的其中一個(gè)JNDI接口，從而完全無(wú)法被攻擊，也包括所有以星辰內核衍生的cao作系統產(chǎn)品；

    其中單位試點(diǎn)使用于非關(guān)鍵服務(wù)的星辰云，也因此沒(méi)有這個(gè)漏洞?！?/br>
    “已較為常態(tài)使用的阿里云產(chǎn)品，則全部發(fā)現了這個(gè)漏洞，阿里云的維護工程師至今仍沒(méi)有通報該漏洞，也沒(méi)有進(jìn)行臨時(shí)規避解決……”

    老苗頭都忍不住在心中腹誹：“艸?！?/br>
    他是真無(wú)語(yǔ)了。

    怎么踏馬能有這種單位！

    他可是那么儒雅隨和的人??！

    都忍不住生艸了。

    隨后，老苗頭做出了決定：“既然已經(jīng)形成了臨時(shí)規避解決方案，也有了初步結論，即刻將風(fēng)險通告給更廣泛范圍?！?/br>
    “三小時(shí)后正式對外發(fā)公告?！?/br>
    秘書(shū)依言記下，在斟酌中提出了自己的建議：“是否等到明天白天？”

    老苗頭直接否決：“沒(méi)有必要再等了?！?/br>
    之后，秘書(shū)先幫忙將林工送出了老苗家，然后又折返回去，他知道老苗頭還有指示。

    老苗頭直接安排：“明天上午發(fā)起個(gè)會(huì )議，商議信息安全風(fēng)險規范建設、以及商量如何組建常態(tài)化信息安全防范組織?！?/br>
    “公告中要體現出對阿里云的處罰決定嗎？”秘書(shū)問(wèn)了個(gè)特別的問(wèn)題。

    老苗頭搖頭：“等大家商量之后再決定?！?/br>
    最后又說(shuō)了句：“把星辰、星辰云的表現結果告訴溫良?！?/br>
    秘書(shū)再次點(diǎn)頭。

    …………

    稍晚些時(shí)候，溫良就收到了信息通知。

    溫良又通知了李澤，讓他隨時(shí)準備出擊。

    如此這般，因為一個(gè)漏洞，這個(gè)前半夜國內無(wú)數互聯(lián)網(wǎng)公司、信息科技公司的技術(shù)支撐部門(mén)全都忙成了一鍋粥。

    盡管損失可能已經(jīng)造成，但也正因為此，必須得抓緊每一分鐘趕緊把漏洞處理干凈，別再造成新?lián)p失。

    不能說(shuō)一個(gè)人黑進(jìn)來(lái)是黑，十個(gè)人黑進(jìn)來(lái)也是黑這種叼話(huà)。

    隨后，深夜11點(diǎn)多，工信下屬網(wǎng)安局發(fā)布了工作動(dòng)態(tài)公告。

    《關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò )安全風(fēng)險提示》

    公告內容表示：

    『阿帕奇(Apache)Log4j2組件是基于Java語(yǔ)言的開(kāi)源日志框架，被廣泛用于業(yè)務(wù)系統開(kāi)發(fā)。近日，阿里云計算有限公司發(fā)現阿帕奇Log4j2組件存在遠程代碼執行漏洞，并將漏洞情況告知阿帕奇軟件基金會(huì )……

    10月25日，網(wǎng)安下屬職員日常巡查發(fā)現阿帕奇Log4j2組件存在嚴重安全漏洞，已開(kāi)展漏洞風(fēng)險分析與排查及修復……

    該漏洞可能導致設備遠程受控，進(jìn)而引發(fā)敏感信息竊取、設備服務(wù)中斷等嚴重危害，屬于高危漏洞……

    為降低網(wǎng)絡(luò )安全風(fēng)險，提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞官方補丁發(fā)布，現將臨時(shí)解決方案下發(fā)。

    網(wǎng)安將持續組織開(kāi)展漏洞處置工作，防范網(wǎng)絡(luò )產(chǎn)品安全漏洞風(fēng)險，維護公共互聯(lián)網(wǎng)網(wǎng)絡(luò )安全……』

    深夜發(fā)布公告這一舉動(dòng)，自然很快觸動(dòng)了各類(lèi)群體。

    也很快被廣泛傳播。

    引發(fā)了夜貓子吃瓜網(wǎng)友的各類(lèi)談?wù)摗?/br>
    很快，向來(lái)擅長(cháng)于熬夜的程序猿們紛紛冒泡，通過(guò)各種渠道表達了對事件的關(guān)注。

    網(wǎng)友們也聊得熱火朝天。

    “這次工信反應好快啊，居然還完成了臨時(shí)解決方案，有點(diǎn)意外?！?/br>
    “我文科生不懂這些東西，不過(guò)從公告中發(fā)現了個(gè)比較有意思的點(diǎn)，這漏洞是阿里云發(fā)現的，但只通告了阿帕奇，沒(méi)有通告網(wǎng)安，還是網(wǎng)安自己發(fā)現的，有沒(méi)有懂行的說(shuō)一說(shuō)這個(gè)漏洞到底有多大影響？”

    禿頭是我身為強者的尊嚴：“剛閱讀了臨時(shí)解決方案和漏洞情況，影響范圍怎么說(shuō)呢……只要是聯(lián)網(wǎng)機器，只要使用了這個(gè)組件，底褲都能被看光的程度，據我所知，這個(gè)Log4j2是去年阿帕奇重點(diǎn)推出的日志組件項目；

    目的是為了應對加入阿帕奇又退出阿帕奇并開(kāi)發(fā)了Log4j的作者新作Slf4j……總之，因為阿帕奇組織下的Apache是全世界排名第一的web服務(wù)器，所以嘛……Log4j2現在的使用范圍你懂的?！?/br>
    熬夜是我的保護色：“只能說(shuō)嚇出一身冷汗，我反正是感覺(jué)有點(diǎn)完犢子了?！?/br>
    每獻祭一根頭發(fā)即可技術(shù) 1：“我發(fā)現了個(gè)有意思的事情，博浪可能是此次漏洞中的最佳躺贏(yíng)選手，出于好奇，我剛才自建環(huán)境復現漏洞，因為我還比較喜歡新鮮事物，所以我有一臺星海工作站……嘗試搭建環(huán)境時(shí)發(fā)現星辰桌面系統不支持這個(gè)日志組件，官方文檔中有自帶日志組件，也不支持JNDI接口；

    有意思的是，我隨后打開(kāi)‘星辰靈境’運行Windows，成功復現漏洞，并且執行了攻擊cao作……

    好在‘星辰靈境’是通俗的特別沙盒模式運行，可以通過(guò)攻擊隨意cao作運行的Windows系統任意內容，包括讀取文件，但不會(huì )影響到主系統星辰桌面，換句話(huà)說(shuō)，無(wú)論怎么搞，星辰類(lèi)系統不受這個(gè)超罕見(jiàn)超危險漏洞影響?！?/br>
    我是每天睡不著(zhù)所以晚上吃瓜的選手：“6666，還有這種cao作，那豈不是說(shuō)星辰系統是目前全球最安全系統？”

    “我覺(jué)得吧，我終于找到了網(wǎng)上所有批評博浪重復造輪子的反擊方式！

    ！”

    “……”

    -