Log4j漏洞看似的更大问题——开源项目的资金来源

值得一提的是，Log4j甚至似乎因素到某些直通有Java搜索引擎组件的智能化的设备。所以大家的智能化烤面包机也有似乎成为黑客炮轰的尽似乎……虽然似乎有点普遍性。

为数据必需平台LunaSec也在在此之前博主中所对该该软件的潜在因素作出了甚是的核心技术解释。

仍要，让我们用一条推文概括Log4j的常用适用范围到底是有多广。

大家大声时说过2020年进发木星的精明号周游世界车吗？它也是由Apache Log4j提供默许的哦。

#Apache#OpenSource#innovation#community#logging#servicespic.twitter.com/aFX9JdquP1

— Apache – The ASF (@TheASF) 2021年6同月4日

有什么纾缓措施？

就在bug曝光为数每隔此后，Apache基金时会的必需工作团队就发表了重新Log4j新版本（v15.0），其中所包涵保护措施该系统免受炮轰的该软件。

《我的世界》开发商Mojang Studios还发表了一份Guide，协助直通在此之前的游戏应用程序及的游戏搜索引擎的浏览器们慢速修补bug。Guide还警告时说，其他直通第三方的游戏应用程序的浏览器深知需要赶紧相应供应商发表修补该软件。另外，瑞士政府计算机积极响应小组（CERT）也以图片基本在Twitter上发表了不易于明白的防治Guide。

比如说：我们比如说大量针对#log4j该软件的扫描，并决定发表这篇包涵指导建议的博主：:

请第一时间装上该软件! pic.twitter.com/HSedlSed0V

— GovCERT.ch (@GovCERT_CH) 2021年12同月12日

Red Hat及VMWare等供应商也发表了自己的该软件修补该软件。各位搜索引擎一个网站老友，请浏览此处参考多篇搜索引擎必需博主以了解详述的纾缓思路。一位GitHub浏览器还制作者了相当新颖的该软件列表，其中所列出了包括Netflix、Citrix、Docker及甲骨文在内的多家供应商发表的该软件。

Apache也早就发表了Log4j软件该系统的2.16.0新版本，此次新增完全删除了联系人查找功能以再现必需威胁。此外，新新版本还禁用了指向消息或其参为数中所所包涵查找接收者的自动解析功能。

一切才刚刚开始

虽然通讯业和自由软件邻里恰巧日以继夜地坚持不懈化解疑问，希望尽似乎保护措施一切常用Log4j的该系统，但只不过的威胁仍然悬于我们头上。

根据Bleeping Computer一早发表的引述，SSL恰巧能用这一该软件装上加密本国货币各种类型该软件、不负责任该软件，并布防大规模DDoS（分布式拒绝APP）异形互联网。苹果电脑的威胁间谍工作团队也比如说，不少SSL恰巧在能用Colbat Strike渗透扫描工具开展汇票盗窃。

Sophos较低级研究工作研究工作员Sean Gallagher也回应，这家必需供应商早就扫描到大量远程code执行在此此后：

自12同月9日以来，Sophos早就扫描到为数十万次常用Log4Shell该软件进行的远程code执行在此此后。在此之后的在此此后主要来自必需研究工作工作人员及潜在SSL执行的基本概念验证（PoC）该软件能用测试，则有自我扫描性质的在线该软件扫描。在此此后，SSL开始在此此后装上各种类型程序，包括Kinsing煤矿工人异形互联网。

当前间谍还说明了，SSL恰巧试图能用此项该软件窃取亚马逊尘科技（AWS）账户中所常用的密钥。

必需研究工作员Greg Linares在推文中所回应，不负责任SSL似乎恰巧在构建一种蚯蚓，用以通过Log4j该软件炮轰大量搜索引擎、进而产生损害或出示赎金。

#Log4J 据我所见，有证据说明了整整的24到48每隔内将用到一种专门针对这项该软件的蚯蚓程序。

这种大肠杆菌需要自我传播，并在受感染者的西北侧上建立起自托管地搜索引擎。

除了制造流量、渗漏文件之外，它还将具备c2c功能。

— Greg Linares (@Laughing_Mantis) 2021年12同月12日

美国互联网必需与公共服务必需局（CISA）也发表了警告，说明该该软件“恰巧在被愈发广泛的不负责任SSL所能用；鉴于因素的广泛性，互联网强攻一方恰巧陷入着紧迫挑战。”该局建议各组织禁用直通有Log4j的一切朝向结构性的的设备，并根据该软件相关物理性质设规则以增强现有SSL的必需水平。

必需研究工作工作人员一早比如说，Log4j bug时会因素到所有Java新版本。因此即使大家直通的Java早就是当前新版本，也仍然需要额外装上Log4j修补该软件。

JNDI-Exploit-Kit中所刚刚添加了对LDAP序列化总重的默许。所以只要序列化总重中所常用的类座落在应用程序的classpath当中所，那么此次该软件就时会因素到*一切* java新版本。别以为常用当前新版本的java就必需无忧了，请尽快新增您的log4j！pic.twitter.com/z3B2UolisR

— Márcio Almeida (@marcioalm) 2021年12同月13日

The Verge网上的一份分析报告说明，如果研究工作工作人员将的设备名称更改为需要能用该软件的特定字符串，就能从苹果和特斯拉等搜索引擎处受益ping职责。

自由软件邻里资源纳应得过低疑问早就惹来公愤

此次比如说的Log4j bug再次说明了，亚太地区大型跨国企业恰巧较低度依赖于APP自由软件该软件。这种特异性本身并没有疑问，但自由软件邻里资源纳应得过低的疑问早就惹来公愤。

谷歌母公司密码学家Filippo Valsorda在自己的同样博客上引用，修补Log4j bug的驻场APP软件们为单项作出了巨大贡献，但该单项在GitHub上只有三个该协会想要为单项民间组织们支付酬金。

他还说明，资源纳不能通过GitHub或Patreon拿到少量资金回报，但他们的开发成果却往往支撑着价值为数百万美元的该母公司。另外，这些重要该系统中所的bug很似乎一时间整个互联网短时间倾覆，我们也没理由对这些只是拿业余时间以依然APP方式直接参与贡献的平民英雄们要求太多。

这些APP软件们恰巧在修补似乎随之而来为数百万美元（甚至再较低几个为倍数）损失的轻微该软件。

“我用业余时间研究工作Log4j。”

“一直梦想能全职积极直接参与自由软件工作。”

“有三位该协会恰巧在捐款@rgoers的工作：Michael、Glenn与Matt。”

各位，我们在搞什么…… pic.twitter.com/2hAxUWCjuC

— Filippo ${jndi:ldap://filippo.io/x} Valsorda (@FiloSottile) 2021年12同月10日

约翰霍普金斯大学密码学研究员Matthew Green认为，自由软件企业需要一份只不过具有广泛因素力的自由软件纳与核心技术详细信息，以便更多人需要直接参与到这些对于互联网顺畅直通决定性性的单项当中所。

好吧，我想强调的是，如果大家希望化解这个疑问，那最紧急的资源似乎并不是钱。“可见性”更为重要。我们都明白有疑问，但不明白疑问到底是在哪。

— Matthew Green (@matthew_d_green) 2021年12同月11日

必需供应商Chainguard母公司创建人Dan Lorenc回应，虽然跨国企业有意愿捐款自由软件单项，但却很难找到合适的决定性单项、特别是单项APP软件本人。他还引用，在全然情形下，整个企业可以反之亦然捐款那些负责管理维护三到四个单项的工作团队。

这大声起来不太现实，但只不过的疑难在于如何分配、而非如何暗自。毕竟互联网企业是出了名的有钱。

跨国企业有预算、也想要花钱，但却特别缺时间。遗憾的是，寻找只不过需要协助的单项、特别是想要用精力和投入献出金钱的自由软件APP软件才是只不过的疑难。pic.twitter.com/mFkOoOVYXn

— Dan Lorenc (@lorenc_dan) 2021年12同月12日

资源纳们回应，他们通过自由软件贡献拿到的应得相当有限，单凭这一份工作也依然持续一定时会生计。这样的各种因素不能用可悲来形容。

希望这个疑问最终能唤醒企业比如说这群短时间内团结起来、想要为保持良好互联网恰巧常减速而坚持不懈的自由软件资源纳们。但愿这次暴雷不要仅仅激起一丝彷如，不要止步于人们的书面形式讨论。

仍要，让我们用XKCD漫画为这次事件作结。