应该所有软件公司上周五下午都把工程师叫回去晚上加班吧
然后周末连着两天也都是
西西 刚好oncall 手机响到我怀疑人生
又遇上周五deployment freeze
我直接page老板好爽 叫他起来上班
反正周二赶着做完
周三静静看着做不完的其他组被highlight 西西
新闻:
https://udn.com/news/story/7086/5966368
被广泛使用的软件Log4j中的一个严重漏洞，让资安专家发出警讯，各大企业也纷纷忙着
要解决这个问题。
上周末通报的这项漏洞存在于以Java语言开发的日志框架Log4j中，大型机构会使用该软
体来设定应用程式；这个漏洞对网络的绝大部分领域构成潜在风险。
根据资安研究人员说法，苹果公司（Apple）的云端运算服务、资安公司Cloudflare，以
及全球最受欢迎的电玩游戏Minecraft是使用Log4j的众多服务之一。
美国国土安全部网络安全和基础设施安全局（CISA）局长伊斯特利（Jen Easterly）表示
，这是她职涯看过“最严重的漏洞之一”。伊斯特利11日发表声明指出，有“愈来愈多”
骇客正在积极尝试利用这个漏洞。
根据资安公司Check Point本周的数据，截至14日为止，每分钟就发生超过100次骇客尝试
攻击。
资安公司TrustedSec执行长甘迺迪（David Kennedy）指出，这个问题需要几年时间才能
解决，然而骇客会每天持续寻求利用这个漏洞，对企业来说犹如定时炸弹。
● Log4j是什么？为什么重要？
根据资安专家说法，Log4j是最受欢迎的网络纪录档记录工具之一。Log4j提供软件开发者
方法来建立活动纪录，以用在各种目的上，诸如问题排除、审核和数据追踪。由于它是免
费开放资源，Log4j基本上触及网络各个领域。
资安公司Veracode研究总监克里斯．伍（ChrisEng，音译）向美国有线电视新闻网商业频
道（CNNBusiness）表示：“它无所不在。就算你是没有直接使用Log4j的开发者，也有可
能在操作这个脆弱的程式码，因为你使用的其中一个开放原始码程式库仰赖Log4j。这就
是软件的性质，它会无限延续下去。”
● 骇客在利用这个漏洞吗？
根据Cloudflare说法，早在此事曝光的一周前，骇客似乎已经开始利用这项软件漏洞。如
今随着每天发生的骇客尝试攻击次数如此之高，有些人担心最糟的情况还在后头。
微软公司（Microsoft）14日晚间在部落格更新文章中表示，来自中国、伊朗、北韩和土
耳其获国家撑腰的骇客尝试利用Log4j漏洞。
● 为何这项资安漏洞如此严重？
专家特别担心这项漏洞，因为骇客能轻易进入一间企业的电脑服务器，让他们得以进入网
路其他领域；据甘迺迪说法，要找出漏洞或确认一个系统是否已经遭到损害也相当困难。
除此之外，14日晚间又发现Log4j系统的第2个漏洞。开发Log4j和其他开放原始码软件的
非营利组织阿帕契软件基金会（Apache Software Foundation）已经释出安全补丁供各个
机构使用。
● 企业行号如何试着解决问题？
Minecraft上周发表部落格贴文，宣布在其游戏一个版本中发现漏洞，已迅速发出补丁。
其他企业也采取类似做法。
国际商业机器公司（IBM）、甲骨文公司（Oracle）、亚马逊网络服务（AWS）和
Cloudflare都对客户发出建议，部分推出安全更新，或概述他们可能推出补丁的计画。
甘迺迪说：“这是如此严重的漏洞，但这不像传统重大漏洞一样点个按钮就能修补，而是
需要很多时间与功夫。”
为了提高透明度并减少不实讯息，CISA表示会设立一个公共网站，针对哪些软件产品受到
该漏洞影响，以及骇客如何利用这些漏洞，不时发表更新。
● 接下来呢？
美国政府已经对受到影响的企业发出警示，要求在假期期间对勒索软件和网络攻击提高警
觉。
有人担心会有愈来愈多的恶意行为人用新的方法来利用这项漏洞，虽然大型科技公司或许
本有安全团队来处理这些潜在威胁，但许多其他机构却没有。
资安公司Red Canary情报主任尼克尔斯（KatieNickels）表示：“我最担心的是学区、医
院，以及只有一位资讯人员的地方，此人负责资安，没有时间、安全预算或工具来处理。
这些是我最担心的组织，也就是只有小额安全预算的小型组织。”