SegmentFault思否 · 2021年12月13日

Log4j 高危 Bug 已被连夜修复!维护者:“为了实现向后兼容性未删除旧功能而导致漏洞”

上周,Apache Log4j2 曝出的远程代码执行漏洞,在全球范围内造成了重大影响。

相关阅读:
高危 Bug !Apache Log4j2 远程代码执行漏洞:官方正加急修复中!
https://segmentfault.com/a/1190000041096729
image.png
该漏洞的突然暴露,不仅给使用 Log4j2 的框架维护人员来了个措手不及,也让开发人员们一夜之间“修复”了该问题。

作为 Apache 软件基础日志服务的 PMC 成员,Volkan Yazıcı 对于本次事件作了回应。
image.png
12月11日,Volkan 在推特发文表示:“Log4j 的维护人员们一直在不眠不休地研究缓解措施,以修复Bug、文档、CVE、查询回复等。但没有什么能阻止人们抨击我们,因为我们的工作没有得到报酬,因为我们都不喜欢这个功能,但出于向后兼容性的考虑需要保留它。”
image.png
(推特原文链接:https://twitter.com/yazicivo

同时,Volkan 还附上了 Log4j 2.15.0 的相关链接:
https://logging.apache.org/log4j/2.x/changes-report.html#a2.15.0
image.png
以及对漏洞的修复链接:
https://logging.apache.org/log4j/2.x/security.html

据他描述,自从该漏洞被公开以来,维护人员一直在忙于修复该漏洞,以及相应 bug、文档和 CVE 的维护工作,同时响应其他人的查询。

尽管这些维护工作都是无报酬的,但他们还是受到了很多来自外界的严厉批评甚至指责。

Volkan 提到,导致该漏洞的旧功能实际上是要删除的(该漏洞本质上是向 Log4j2 的查找方法中注入的 JNDI),但保留该功能是为了确保向后兼容性。

当然,也有人不同意 Volkan 的“向后兼容”原则。他表示,如果开发团队想要删除旧功能,他们根本不用犹豫,只需要做他们想做的事情;但如果使用该功能的用户认为它很重要,他们可以自己承担项目的时间、精力和金钱成本,并自行维护。

Apache Log4j2 是一款基于Java的日志组件,该组件在业务系统开发中广泛用于记录有关程序输入和输出的日志信息,并且使用极其广泛。在大多数情况下,开发人员会将用户输入导致的错误消息写入日志。

作为一个开源的底层组件,Log4j2 已被谷歌、苹果、亚马逊等许多大型互联网公司使用。

从 Volkan 推特上的评论中可以看出,不少人也才刚刚了解到,原来这些高市值、高利润的公司没有给这个基础组件提供任何支持,甚至连维护人员也都是无偿工作的。

了解到真实情况的网友们,也纷纷给维护人员们“隔空”送上了拥抱。有人就在 Volkan 推文下方评论称,“给Log4J的人送个拥抱吧。对他们来说,这一定是一个非常糟糕的星期五”。

推荐阅读
关注数
4194
内容数
887
SegmentFault 思否旗下人工智能领域产业媒体,专注技术与产业,一起探索人工智能。
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息