Log4j 高危 Bug 已被連夜修復!維護者:“為了實現向後相容性未刪除舊功能而導致漏洞”

MissD發表於2021-12-17

上週,Apache Log4j2 曝出的遠端程式碼執行漏洞,在全球範圍內造成了重大影響。

(相關閱讀:
高危 Bug !Apache Log4j2 遠端程式碼執行漏洞:官方正加急修復中!
https://segmentfault.com/a/11...

該漏洞的突然暴露,不僅給使用 Log4j2 的框架維護人員來了個措手不及,也讓開發人員們一夜之間“修復”了該問題。

作為 Apache 軟體基礎日誌服務的 PMC 成員,Volkan Yazıcı 對於本次事件作了回應。

12月11日,Volkan 在推特發文表示:“Log4j 的維護人員們一直在不眠不休地研究緩解措施,以修復Bug、文件、CVE、查詢回覆等。但沒有什麼能阻止人們抨擊我們,因為我們的工作沒有得到報酬,因為我們都不喜歡這個功能,但出於向後相容性的考慮需要保留它。”


(推特原文連結:https://twitter.com/yazicivo

同時,Volkan 還附上了 Log4j 2.15.0 的相關連結:
https://logging.apache.org/lo...

以及對漏洞的修復連結:
https://logging.apache.org/lo...

據他描述,自從該漏洞被公開以來,維護人員一直在忙於修復該漏洞,以及相應 bug、文件和 CVE 的維護工作,同時響應其他人的查詢。

儘管這些維護工作都是無報酬的,但他們還是受到了很多來自外界的嚴厲批評甚至指責。

Volkan 提到,導致該漏洞的舊功能實際上是要刪除的(該漏洞本質上是向 Log4j2 的查詢方法中注入的 JNDI),但保留該功能是為了確保向後相容性。

當然,也有人不同意 Volkan 的“向後相容”原則。他表示,如果開發團隊想要刪除舊功能,他們根本不用猶豫,只需要做他們想做的事情;但如果使用該功能的使用者認為它很重要,他們可以自己承擔專案的時間、精力和金錢成本,並自行維護。

Apache Log4j2 是一款基於Java的日誌元件,該元件在業務系統開發中廣泛用於記錄有關程式輸入和輸出的日誌資訊,並且使用極其廣泛。在大多數情況下,開發人員會將使用者輸入導致的錯誤訊息寫入日誌。

作為一個開源的底層元件,Log4j2 已被谷歌、蘋果、亞馬遜等許多大型網際網路公司使用。

從 Volkan 推特上的評論中可以看出,不少人也才剛剛瞭解到,原來這些高市值、高利潤的公司沒有給這個基礎元件提供任何支援,甚至連維護人員也都是無償工作的。

瞭解到真實情況的網友們,也紛紛給維護人員們“隔空”送上了擁抱。有人就在 Volkan 推文下方評論稱,“給Log4J的人送個擁抱吧。對他們來說,這一定是一個非常糟糕的星期五”。

相關文章