为什么Log4j2的IT人员这么惨？

在过去的几周里，你可能已经看到了一些关于它的一般新闻，因为即使是一般的新闻来源也意识到这是个坏消息。正如美国网络安全和基础设施安全局长詹·伊斯特利所说:“美国Log4j漏洞是最严重的漏洞在我几十年的职业生涯中，我看到了。"

听起来真的很可怕，因为真的很可怕。但是到底是什么呢？故事的另一面要求你在标题中使用“安全”、“系统管理员”或“开发人员”等词.

如果你是一个普通的凡人，以下是发生了什么，以及为什么这是一个需要处理的重大痛苦。

Apache Log4j2是一个非常受欢迎的开源Java日志库。如果您的Java程序记录了，嗯，几乎任何东西，从用户名到它调用其他程序寻求帮助的次数，很可能它使用Log4J2来完成这项工作。

几周前，安全调查人员发现，如果你能让它记录一行恶意代码，坏事就会发生。有多糟？它有一个“完美”通用漏洞评分系统(CVSS)满分10分。这是最糟糕的安全漏洞。

如果您的任何程序包含易受攻击的Logj42版本，它们可能会遭到远程代码执行缺陷攻击。如果成功，攻击者可以从你的服务器上玩末日游戏，用Mirai未来组合僵尸网络感染你网络上的每一个盒子，用勒索软件扼杀你。哦，还有政府支持的黑客现在也在使用Log4j漏洞。去问问仍在从袭击中恢复的比利时国防部就在上周。

那些程序可能是什么？问得好。成千上万个广泛使用的商业程序是可以攻击的。其中包括苹果iCloud众多思科计划和许多VMware程序。

此外，如果你的团队或独立软件供应商(ISV)用Apache Druid、Dubbo、Flink、Flume、Hadoop、Kafka、Solr、Spark和Struts等软件组件编写了你的程序，它们也可能会受到攻击。这是一个安全漏洞，不断给予。

好消息是，Log4j2漏洞有一个修复程序，实际上是三个修复程序。简短的版本是，如果您将这个有问题的软件库的每个副本更新为log4j 2.17.0，一切都会好的。

是啊，问题就在这里。您必须更新每个最后一个。这是真正不太好的部分。Log4j隐藏在数百万个程序中。没有软件材料清单(SBOM)对于每一个应用程序，你不能确定你会找到它们。SBOM是一个新概念。去年没有人制作它们，更不用说7年前Logj42首次发布的时候了。

所以你必须去找他们。

想象一下，如果没有易于使用的文本搜索工具，有人要求你查找自2014年以来你在给首席执行官的文档中提到的所有内容。现在，想象一下，如果你找不到它，你公司的信息技术基础设施将崩溃成一个可怕的烂摊子。

上海希尼亚偌数十年专注于一站式IT外包业务、IT系统集成服务、IT运维管理服务。