上周,Apache Log4j2 曝出的远程代码执行漏洞,在全球范围内造成了重大影响。
(相关阅读:
高危 Bug !Apache Log4j2 远程代码执行漏洞:官方正加急修复中!
https://segmentfault.com/a/11...)
该漏洞的突然暴露,不仅给使用 Log4j2 的框架维护人员来了个措手不及,也让开发人员们一夜之间“修复”了该问题。
作为 Apache 软件基础日志服务的 PMC 成员,Volkan Yazıcı 对于本次事件作了回应。
12月11日,Volkan 在推特发文表示:“Log4j 的维护人员们一直在不眠不休地研究缓解措施,以修复Bug、文档、CVE、查询回复等。但没有什么能阻止人们抨击我们,因为我们的工作没有得到报酬,因为我们都不喜欢这个功能,但出于向后兼容性的考虑需要保留它。”
(推特原文链接:https://twitter.com/yazicivo)
同时,Volkan 还附上了 Log4j 2.15.0 的相关链接:
https://logging.apache.org/lo...
以及对漏洞的修复链接:
https://logging.apache.org/lo...
据他描述,自从该漏洞被公开以来,维护人员一直在忙于修复该漏洞,以及相应 bug、文档和 CVE 的维护工作,同时响应其他人的查询。
尽管这些维护工作都是无报酬的,但他们还是受到了很多来自外界的严厉批评甚至指责。
Volkan 提到,导致该漏洞的旧功能实际上是要删除的(该漏洞本质上是向 Log4j2 的查找方法中注入的 JNDI),但保留该功能是为了确保向后兼容性。
当然,也有人不同意 Volkan 的“向后兼容”原则。他表示,如果开发团队想要删除旧功能,他们根本不用犹豫,只需要做他们想做的事情;但如果使用该功能的用户认为它很重要,他们可以自己承担项目的时间、精力和金钱成本,并自行维护。
Apache Log4j2 是一款基于Java的日志组件,该组件在业务系统开发中广泛用于记录有关程序输入和输出的日志信息,并且使用极其广泛。在大多数情况下,开发人员会将用户输入导致的错误消息写入日志。
作为一个开源的底层组件,Log4j2 已被谷歌、苹果、亚马逊等许多大型互联网公司使用。
从 Volkan 推特上的评论中可以看出,不少人也才刚刚了解到,原来这些高市值、高利润的公司没有给这个基础组件提供任何支持,甚至连维护人员也都是无偿工作的。
了解到真实情况的网友们,也纷纷给维护人员们“隔空”送上了拥抱。有人就在 Volkan 推文下方评论称,“给Log4J的人送个拥抱吧。对他们来说,这一定是一个非常糟糕的星期五”。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。