最近几天 ， 世超在各家互联网大厂的程序员朋友们 ， 都快被一个叫 Log4Shell 的史诗级漏洞给折磨疯了！
这个漏洞源于一个叫 Log4J2 （ Log For Java 2 ）的 Java 开源日志框架 ， 它在用 Java 敲代码的码农群体里可以说是无人不知 ， 无人不晓 。

文章图片

它就好像早年间打《 魔兽世界 》一定要装的大脚插件一样 ， 属于真正意义上的 “ 咖啡伴侣 ”， 很少有 Java 程序不用这个组件 。

文章图片

就是这么一个要命的底层日志框架 ， 被发现透了一个洞 。。。
最先发现漏洞的 ， 是阿里云安全团队中 ， 一位叫 Chen Zhaojun 的大佬 。
据他的说法 ， 这个漏洞很早就被国外的安全代码扫描平台扫出来了 ， 圈内的程序员大佬们也都在等待官方的修复 ， 没有声张 。
【让全世界大厂都手忙脚乱的代码漏洞，是怎么一步步成为噩梦的？】“ 上百万刀的安全架构 ， 在 Log4J2 漏洞面前一文不值 。。。” ▼

文章图片

很快啊 ， 包括了 阿里、腾讯、百度、网易、新浪等一众国内的互联网大厂纷纷中枪 ， 都被圈在了受影响的范围之内 。
有博主还收到了腾讯云发来的防护短信 。▼

文章图片

不仅仅是大厂的服务系统 ，耳机、电脑、车机等硬件系统等也无一幸免 。。。

文章图片

不夸张的说 ， 这个漏洞要是不及时修补 ， 下场就是被如饥似渴的黑客们捅烂 ， 进一步威胁网络安全 。
他们会有效利用 “ 零日漏洞 ” （ 指的是发现后立即被恶意利用的安全漏洞 ）发动零时差攻击 ， 抢在安全补丁出来之前 ， 对服务器造成杀伤 。

文章图片

就连我们日常使用的 手机、电脑软件（ 大部分都是拿 Java 写的 ） ， 也都将暴露在黑客的的攻击范围内 ， 想捅哪里捅哪里 ， 把你的电脑挟持过来挖矿也不是没可能 。
就和打游戏偷家似的 ，so easy。。。
不过有意思的是 ， 也有乐子人利用这个漏洞 ， 发现了特斯拉把国内数据上传到美利坚服务器的尴尬事儿 。

文章图片

不知道这个数据有没有包含用户数据 ， 但我建议龙马哥先别急着解释这茬了 ， 还是赶紧把这个漏洞修修吧 ， 不然到时候可能真的不好收场 。

文章图片

咳咳 ， 扯远了 。。。
说回这次的漏洞 ， 最可怕的地方在于实现起来没什么门槛 ， 只要用一串简单的字符 ， 就能轻易攻破服务器 ， 并在上面运行各种代码 。。。
这别说是窃取个人信息了 ， 黑客想要远程挟持、瘫痪企业级的服务器 ， 那也是毫无阻碍 。
那黑客到底是怎么样利用漏洞 ， 用几串字符就轻松攻破服务器的呢？

文章图片

要整明白这个问题 ， 我们得先搞清楚啥是日志 。