Hackers Backed by China Seen Exploiting Security Flaw in Internet Software Hackers linked to China and other governments are among a growing assortment of cyberattackers seeking to exploit a widespread and severe vulnerability in computer server software, according to cybersecurity firms and Microsoft Corp. MSFT 2.31% The involvement of hackers whom analysts have linked to nation-states underscored the increasing gravity of the flaw in Log4j software, a free bit of code that logs activity in computer networks and applications.
这下子阿里码农要倒霉了,搞不好会成为IT界李文亮。 https://www.bloomberg.com/news/articles/2021-12-13/how-apache-raced-to-fix-a-potentially-disastrous-software-flaw At 2:51 p.m. on Nov. 24, members of an open-source software project received an alarming email. The contents threatened to undermine years of programming by a small group of volunteers and unleash massive cyberattacks across the globe. “I want to report a security bug,” wrote Chen Zhaojun, an employee on Alibaba Group Holding Ltd.’s cloud-security team, adding “the vulnerability has a major impact.” The message went on to describe how a hacker could take advantage of Log4j, a widely used software tool, to achieve what’s known as remote code execution, a hackers’ dream because they can remotely take over a computer.
The law is here, read it yourself: http://www.gov.cn/gongbao/content/2021/content_5641351.htm Alibaba violated article 7, section 2. heartinny 发表于 2021-12-22 21:24
前两天WSJ的新闻,联系这次阿里巴巴被修理一起看,有点意思
Hackers Backed by China Seen Exploiting Security Flaw in Internet Software
Hackers linked to China and other governments are among a growing assortment of cyberattackers seeking to exploit a widespread and severe vulnerability in computer server software, according to cybersecurity firms and Microsoft Corp. MSFT 2.31%
The involvement of hackers whom analysts have linked to nation-states underscored the increasing gravity of the flaw in Log4j software, a free bit of code that logs activity in computer networks and applications.
https://www.bloomberg.com/news/articles/2021-12-13/how-apache-raced-to-fix-a-potentially-disastrous-software-flaw
At 2:51 p.m. on Nov. 24, members of an open-source software project received an alarming email. The contents threatened to undermine years of programming by a small group of volunteers and unleash massive cyberattacks across the globe.
“I want to report a security bug,” wrote Chen Zhaojun, an employee on Alibaba Group Holding Ltd.’s cloud-security team, adding “the vulnerability has a major impact.”
The message went on to describe how a hacker could take advantage of Log4j, a widely used software tool, to achieve what’s known as remote code execution, a hackers’ dream because they can remotely take over a computer.
系统提示:若遇到视频无法播放请点击下方链接
https://www.youtube.com/embed/FU5DokwjsOs?showinfo=0
我看了人家讨论,说是阿里先报告了政府,但中国政府规定30天后才能对外公布,然而阿里工程师没有等30天就通知了Apache 所以犯了禁忌。
我觉得这个漏洞其实应该早就有人发现了,只是一直没声张,不然那么多网络入侵哪来的,应该还有很多类似漏洞
洗地姿势不错,还引用知乎
主要应该是在黑客微信群讨论的原因把, 所以,有个log4j2黑客欢乐时间。 很多地方都被黑了。(就是在apche和任何政府确认之前,几乎全球所有的黑客都在行动了)
国外也批评了,觉得在黑客微信群讨论之前,就应该上报,不过阿里的团队说,当初在黑客群里讨论的时候,并不完全确定存在。 其实,哪怕阿里通报给apache前,许多搞IT的人都知道了。
等于美国多了15天时间来攻击中国的各个网站。
真是脑子进水,30天够黑客把中国所有网站黑一遍了。
就问apache会不会当天报美国政府,美国政府有14天拿到所有用log4j的网站的access也不是不可能。
我不信阿里的人不知道这个规矩,我一个半吊子网络安全都知道,更何况能找到这个漏洞的高手,估计为了名声吧。毕竟是今年最大的漏洞了。
就是这个理,自然要先报告有关部门,而不是广而告之, 广而告之肯定被黑客捷足先登啊,有关部门要赌漏洞, 动作肯定比黑客慢
轮子颠倒黑白的能力真是一绝
阿里11月22就通知了Apache 。但是从来没有通知工信部。工信部12月14才从其他厂商那里知道的消息
这个log4j怎么引入的还是个迷。可能跟当年椭圆曲线加密bug一样,都是nsa埋的雷
轮子颠倒黑白的功力真牛逼
本贴里扯淡“工信部禁止向apache公布消息”的,还有给这种屁话点赞的,有一个算一个全是政庇
阿里的这个做法太可恶了。这次没有攻击中国,不代表下一次。后果不堪设想。 我绝对支持严惩😡阿里!
人log4j好像从出现到现在只有6个contributor,都是免费的那种。
这个漏洞似乎是为了给未来的某个feature铺路故意留着的。至少log4j的maintainer是这么说的。。。。
我总结的经验就是,免费的都不是好东西。。。java这个破玩意儿!
apache没有美国的相关主管部门,apache也没有配合美国政府部门的义务,不像中国公司都有配合中国安全部门的责任和义务。
我hk买的一个财产组合里配了好多baba
哎,吐血
Apache也是遵守美国制裁法律的。
你硬拗个啥呢?漏洞发现者12月11日的微博,第三条很明显就是说自己是按规定办事的(不是在工信部处罚之后发布的微博哦),换句话说就是先通知相关部门了 - 但是可能没等相关部门指示就私自联系Apache坏了某些人好事。
当然你国偏要耍流氓给个人或者公司安个罪名,下面人也不敢反抗不是?搞不好就被抓精神病院了。
https://weibo.com/2734950224/L5xSy6RCv#comment
你搅浑水的手段,真是太low。
漏洞发现者 是漏洞发现者。阿里是阿里。没有说把这个漏洞发现者给抓起来了呀。处罚的是阿里这个公司,不是吗? 漏洞发现者发布一个微博算个屁证据。工信部明确说是三个星期以后,从其他渠道才。拿到的相关资料。丫要是及时报告了政府,就拿出通信证据呀。
现在的问题就是,阿里完全不尊重工信部的合作条款,阿里公司里可能完全就没有如何把相关bug通知给过工信部的机制。
换成一个美国公司,不通过政府批准擅自把美国做出来的敏感发现通告给 外国组织,光一个itar就罚死你。就算中国没有美国这么变态的出口管制,你作为政府的云合作厂商,你自己发现的要害bug,三个星期都不通知你的政府合作伙伴,是什么意思?
Alibaba violated article 7, section 2.
有项目,才有钻研技术的平台。
这个程序员当年班上的前三名,恐怕都在硅谷阿三的指挥下写crud,还被pip了呢
国内的所谓项目不是照抄就是重复造轮子,忽悠谁呢
重复造轮子对科技进步没有没帮助,但对国家有帮助,价格打下来后全世界的民众也会受益。
国内的这条政策其实有很大争议。第一发现漏洞后通知产品提供者(log4j开发组)这点都是认可的。但是第二条在2日内通知信息共享平台,显然没有给log4j这类open source开发组提供足够的时间来提供布丁,通知信息共享平台就意味着大家都知道了问题而没有补丁程序可用。
第一时间通报政府的问题是,漏洞会被利用来盗取情报,对中美政府都是如此。美国没有这个规定,而中国有这个规定,之前这个政策公布时美方已经提出了中国政府这是利用人口优势来获得信息站优势,不要觉得美方傻,认识不到,国内这种耍小聪明的做法只会导致更严格的技术封锁,以后只能在局域网玩自己的open source工具
第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施: (一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。 (二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
你赶紧写血书去请愿啊 不答应然就吊死在他家门口
估计你不知道啥叫CVE,还有就是CVE的发布流程。
单纯说一句,美国才没有这么脑残的规定呢,发现bug报告给apache就够了,就算不报告也没什么大不了的,别想当然了。除非是你真的把重要机构啥的黑了。中国这个法规,处处体现出对技术的不理解和不尊重,一言难尽。各位高级技术人员海龟前请三思。
工信部是啥? 是个专门负责检查这些网络漏洞保证所有用户安全的部门吧。结果自己没本事,发现不了bug保护不了广大群众,还要怪别人发现了没报告。难道不应该自责?如果自己没有多套安全方案,全靠乙方报告,被黑是早晚的事。
不要着急, 这个几年前就有人推了, 那轮到吃瓜群众。 最近看了一下openssl.org 网站, 华为和腾讯已经不在白金赞助着名单上了, https://www.openssl.org/support/acks.html。 马工马婆SE都知道Openssl的用途和重要性。 Wiki上有openssl 历史, https://en.wikipedia.org/wiki/OpenSSL。 多年前Openssl的安全漏洞像筛子, 相比今天Log4J漏洞就是小意思。 美国国防部看不下去出面赞助, 支持Openssl修补漏洞。 但DoD背景特出, 令世人侧目。 事后DoD撤出OpenSSL支持, 华为腾讯填补这空缺。 看看华为腾讯在美国所作所为, 非常非常有眼光的。 老任小马不出任中国科技部正副部长或电信部正副部长, 真是中国科技的巨大损失。 别老支持美国科技发展, 同志们为了祖国科技发展也要上血书。
大概在2013年左右, 华为腾讯开始支持赞助Openssl https://www.buzzfeednews.com/article/chrisstokelwalker/chinese-companies-are-outspending-us-ones-to-sec-88k0
Openssl 安全漏洞历史 (openssl是黑客攻击主要目标之一) https://www.cvedetails.com/product/383/Openssl-Openssl.html?vendor_id=217
这次看到国内厂家发现极为重要的安全漏洞是件很好事。 东升西降,想要做世界老大总要做些高大上的事。 这么好的事情被被老鼠屎搅了。 不过美国SE都骂这个时间很可恶。
很有可能。
就这么多清北的去了硅谷,但是ceo还是老印做,就挺说明问题了。
没办法,国人的文化不适合硅谷的土壤。
这个规定肯定是对中方有利啊,难道还要对美方有利?
但是既然是中国公司,赚着中国的钱,为啥胳膊要向外拐?
你说美国没有相关规定,那你就说阿帕奇会不会第一时间通知美国政府把?他要是第一时间通知了,那就证明是潜规则对吧。
国人可以在这个时候毅然回国投奔中国互联网公司,应该心存感恩之心。 印度人就没有这么好的机会了。
对对对,商业公司想在中国市场挣钱,就得给中国军方提供情报战技术支持。赵立坚虽然脸皮厚,都不敢这么大方的承认。
老印适合当CEO,也当得好。老中适合做工具,也做得好。 老中不喜欢管理,高层政治什么的太无聊了。毕竟我们美华来美国,就是要逃离国内的复杂的人事,喜欢这里的单纯的人际关系。
张口就胡说八道, 点赞的都是轮子吗.
作为一个专业轮子, 你很努力. 但是你的中文是体育老师教的? 还是你在故意误导, 他的发帖时间是在工信部已经通过其他公司了解这个漏洞后. 第三句意思明显是提醒大家要熟读网络信息安全管理条例, 很显然就是因为他之前没有熟读, 整个阿里云都没有一个人读过. 这件事导致阿里市值短期至少损失100亿美元, 而且阿里云可能永久失去政府的信任, 长期损失无可计算. 从我从国内了解到的消息, 阿里第一时间通知了阿帕奇,但是从来都没有通知过中国工信部, 阿帕奇第一时间通知了美国政府. 而工信部很晚才从其他厂商知道这个消息, 这时候已经有政府系统被知晓这个漏洞的黑客(美国?)攻击了, 现在临时紧急打补丁, 但是可能已经泄露了很多机密, 多了很多新建后门, 不再是一个补丁可以解决的了. 这件事如此之大, 工信部不愿意自己担责,把这事上报到高层了, 阿里云这次明面上只是受个小处分, 其实已经上了黑名单了. 我出空了之前抄底的阿里股票, 我已经不信任阿里管理层的能力了, 任何一个国家,吃里扒外的公司是做不大的.
开源软件都是免费的,拿去用了开发新功能修补漏洞回馈社区是基本素质。这东西跟商业政治都扯不上关系,至于国内有什么政策那只代表国内,世界其余地方不是这样的。
“阿帕奇第一时间通知了美国政府.”
这个我不信,apache没有向任何政府汇报的义务。apache需要做的就是发现安全漏洞公开,并及时修补发布解决方案。
说明你是做底层苦力的. 美国很多地方中层或者中层以上, 人事关系,政治斗争比中国更厉害, 而且很阴, 口蜜腹剑.
你不信关我屁事. 实际上不止美国政府, 好几个西方国家政府都比中国政府先了解这个消息.
因为这个中国公司一直在用国外的开源软件?
你这是没有出处的假新闻
假如真有这种事,那应该是国家最高机密,你是不可能知道的。明白人一看就知道这种说辞为了给阿里泼脏水编的
这些人根本就不懂
白嫖用了免费工具还要说别国针对自己搞攻击。那就永远不要用开源工具了啊。
阿里好不容易给开源社区做了一次巨大贡献,可以极大提高中国互联网江湖地位,展示大国实力的绝好机会就被这么给毁了。
你说假就假? 你只是个nobody. 哪里来的这么自负. 不说机密的, 你要是真的看了公开的相关新闻都不敢说这是假. 建议你查一下新闻, 看各国政府反应时间.
那你是常委?不然你知道这么多还敢在论坛上议论可是要招来祸害的。
对了,中共高官是不可以上网妄议国事的
开始转进性胡说八道了, 我能了解到的就和机密扯不到半点关系. 你倒是啥都不知道啥都敢说. 不对自己不了解的东西发表评论不懂吗.
link please,中文的不算
不然你就是传谣
我应该比你懂得多,所以才不相信你说的。
其实你不如回家歇着,别耽误我们过节
不懂就不要瞎说, Apache这类开源社区根本不甩美国政府, 关键时刻跟政府对着干。 川普发总统令制裁华为, apache/linux 基金会发声明, 不干我事藐视总统令。 美国政府对外张牙舞爪, 对内拿开源社区没脾气。 这就是为什么, 国内削尖脑袋往美国开源社区里钻。
Apache 法务声明很拽的, 美国政府制裁华为与他无关, 重申开源不受政府控制。 https://blogs.apache.org/foundation/entry/statement-by-the-apache-software Linux 法务声明很拽的, 美国政府制裁华为与他无关, 重申开源不受政府控制。 https://www.linuxfoundation.org/blog/linux-foundation-statement-on-huawei-entity-list-ruling/
美国司法部敢放马过来告开源社区?! 在美国报税藐视政府的刁民很多, 美国还不是发展好好的。
是啊,如果再继续这么没底线下去,连包容性最强的开源社区都抛弃了中国,那就真苦了中国人民了。
码农都清楚出了bug要报告apache,也猜得到为什么工信部要求阿里几日内上报。这帖子里搅浑水的人,你们就不用理了,何必浪费口舌。
你真懂就不会胡说八道了. 脸皮够厚倒是.
也是,你这动不动就人身攻击和骂街的调调,确实不是我们搞技术的人吵得过的。 这一点上我甘拜下风。
“实际上不止美国政府, 好几个西方国家政府都比中国政府先了解这个消息”
你说是就是?
继续表演啊。中国的网络漏洞安全条例第一条就是立刻报告发行人,所以阿里按照法例应当报告阿帕奇,阿里做到了,这很好。工信部惩罚阿里是因为阿里没有在规定时间内通报漏洞给工信部,以至于国内网站在这段时间被黑客攻击,蒙受重大损失,跟阿帕奇没有关系。你们想把阿里受惩罚跟报告阿帕奇联系起来,什么用意呢
你自己搜索新闻不就得了
手动点赞
根本不存在的新闻我怎么搜得到?
你不用搅浑水了,大家都看明白是什么事了。你提到的那几个法律法规就是joke,我们也不感兴趣,国家爱怎么折腾阿里就折腾吧,也跟大家没什么关系。就是告诉你,没有什么apache报告别国政府这种事。别成天介阴谋论了,早就看麻木了。
对自己不了解的东西胡说八道,搅混水正是你
几月几号以什么方式通知的?你的信息出处? 你说的所有东西都没出处,那大家只好当你是造谣一张嘴罗
鉴于你的说话素质,我回完这一贴就把你屏蔽了
gdpr里头明确规定了 可能导致用户信息泄露的漏洞,72小时内,必须要报告给欧盟政府。
美国也有类似的法案,具体名字想不起来。
中国这条法规,是跟着美国和欧盟屁股后头,5个月以前才有的。
就服某些狗屁不通但是万事都能喷一下中国的id
都在胡扯些什么狗屁不通,牛头不对马嘴的
一个政庇非要跟我们这些马工抬杠技术问题,搞笑
名字都想不起来的条款也可以拿来喷,中国有问题的条款法规政策多了去了,质疑这种拍脑袋条款是正常的。我来告诉你,省得你们还要上网搜,欧盟有gdpr,美国有hippa. 但你见过全网爆批过哪个云服务商没做好数据安全是给了别国攻击自己的机会么?
你是不是码工我懒得管分析,他肯定不是,没见过哪个码工把apache写成阿帕奇的,他过往的发言,很多都是上来就骂别人什么都不懂,所以我觉得跟他解释没有任何意义。从头到尾都是你们在这里企图带风向,不能给出真正的有权威的link,只能干巴巴地抨击别人不懂,狗p不通,是政p这种,可笑。说实话,你们口口声声说的很多网站被黑损失巨大也没实例呢?有几个用ldap的公司没有多层级安全系统?一个bug就能毁掉的实在自己也需要检讨。一个技术漏洞被你们上升到政治高度全网爆批完又来外网批,我就是看不惯这种什么都政治化的作风。十年磨一剑,国内唯一有实力在互联网科技领域和其它国家抗衡的企业就是阿里,你们把阿里整瘫痪了也行,到时候就跟芯片技术一样,砸多少钱进去都挽救不回来了。怒气不争。
之前网上那么多docker镜像被黑了被人拿去挖比特币,你们是不是也要惩罚和全网带风向批评一下提供服务的云厂商?
既然你不是个就事论事的人,也搞人身攻击,那也屏蔽好了。
请了解的人说具体些,这15天的可能后果是什么?
那是不是说明阿里及其合作方很有可能已经被攻击了?损失风险无法估计?
那个公布的员工算个人违规行为还是阿里的违规行为?
以后的竞争渗入都是网络了。
怎么证明没有被攻击呢?也许已经掌握了信息等待时机
这么严重
mark