关于Log4J和阿里云的纯科普

Log4J是啥

一个非常基础的Java库，因为功能强大，全世界大半的Java程序都在用它。
这个东西是个Log(日志)库，功能类似你家的行车记录仪。用来记录行驶过程的，以便出事的时候追查。
最开始的时候有个死宅设计了这个行车记录仪并且开放出来，各个车企都觉得这东西便宜而且好用，所以大部分都在用。

这玩意出了啥问题

被发现它其中一个很少有人用，或者说大部分人都不知道的功能居然可以执行远程指令。

这问题有多危险

还是以行车记录仪举例，就是它拍到某些特殊画面的时候，会给画面里写的电话号码打电话，然后按照对方的指示执行操作。但你这行车记录仪是连到汽车ECU里的，所以只要自动驾驶能干的事它就都能干。
这个操作主要分两部分，一个是打电话，另一个是按照指令执行操作。
新一点的车行车记录仪已经不连接ECU了，所以哪怕是有问题它也就只是打个电话。电话里会透露少量信息(环境变量)，信息里面主要就是当前主机名，用户名什么的。但一般不会把重要信息写到环境变量里，这个功能主要是可以确定你这车处于运行状态点着火呢，同时也可以确定你这行车记录仪有问题。但路上跑的车有一大堆都是老车，根本就没升级过，这种基本都会中招。
而且这个东西影响范围远比想象的大，你可能觉得你的车只在园区里跑，不上路就不会有问题。但实际上假如你那天自己在路上来张自拍，然后回家拿手机看照片的时候被记录仪看到了，就也会出问题。
所以当时暴出来的时候很多人都在问，为啥你一个行车记录仪还特么有这功能，而且很久以前就加上了。

Apache是啥

开源软件总要有人维护，如何组织维护者，对软件本身有什么样的要求等等，这些东西构成了一个社区。Apache社区就是全球类似社区中最大的一个，社区开发和支持了大量的开源软件，基本上只要你做开发就绕不过它。
Apache也有基金会，基金会是注册在美国的非营利性组织。组织接受捐赠，并对社区提供支持。按照他们的说法，捐赠主要用于维护Apache的服务器(存那些个软件的)，法务咨询和会计等等。
注意一点，Apache基金会注册在美国，受美国法律进行出口管制。包括广大码农用的Github也是如此，如果说美国规定某个地区属于管制范围内，那么Apache的服务器就不能对其提供服务。
至于你已经下载的代码是不是违反出口管制，则类似于你在管制前买的机床。
国内很多公司会把自己开源的项目捐给Apache。Apache的收录标准比较严，一般都是你要开源一段时间，然后衡量你社区质量等等。

这东西跟Apache有啥关系？

目前Log4J由Apache社区进行维护。社区基本都是志愿者，但这志愿者的背景就不一定了。提交代码不需要背景审查。

啥是漏洞

一般来说只要你这东西没有按照设计情况跑就都算漏洞。通常你做的烂的这种没啥人管，比如微信，大家都是骂两句。
但是安全漏洞会涉及到信息泄露，赔钱等等。危害性比较严重。就像会引起车企召回的那些问题。
至于掉个漆啥的除了车主投诉，通常没人管。

啥是漏洞平台

因为有些问题很严重，特别是当你的产品并不直接面对最终客户，而是作为供应链的一部分，如果出了问题用你这部件的人都得修。所以人们为了总结和管理这些问题，做了漏洞平台。
一般来说这些平台记录的信息会指明有问题的软件版本和大概问题描述。不会涉及具体如何利用。但很多有经验的人看了描述再挖一下就能知道是啥。
这些平台里面用的最多的就是CVE，基本只要大点的软件开发公司都会盯着它，看看有没有爆出来啥漏洞需要自己修的。CVE也是由注册在美国的非营利性组织维护的。
国内以前有个乌云平台，后来因为一些原因被砍了。
平台一般只做信息汇总，不会去联系推动相关方。除非另有操作。比如之前的乌云好像就会提前联系一下苦主。

发现了漏洞怎么办

首先排除掉拿它卖钱。
然后你从哪挖出来的就报给谁。
再然后要考虑漏洞平台。因为平台一旦公布出来就基本等于被利用，所以你至少要等作者修好了再公布。要么平台会帮你隐藏一段时间再公开，要么你自己过段时间再报。这个要看具体平台策略。
至于为啥要报给平台，主要是因为你挖了特定网站漏洞还好说，要是某个基础组件，你也不知道谁在用。只能祈祷用这些软件的人会去看平台或者软件本身的页面。
但实际上大部分人都只管用，基本不会去盯着发布日志看。所以报给平台是最靠谱的。
问题是不是所有人都喜欢修漏洞，有的人觉得你挖我漏洞就是针对我，而且没个半年一年我修不好，为啥你这平台隔了半个月就给我公布了。 乌云就是这么没了

网络安全法

17年开始实施，但没什么实际内容，主要是要求各方面遵守相关管理和法规。

网络产品安全漏洞管理规定

这个就是关于漏洞管理的规定，于今年九月一日开始实施。
主要相关的内容，对于发现者来说：
[quote]
(一)发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
[/quote]对于一般使用者来说
[quote]
第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存网络产品安全漏洞信息接收日志不少于6个月。
[/quote]还有些不能贴，自己去百度百科看吧，有原文。

关于平台

[url]https://www.cnvdb.org.cn/index[/url]
百度还会搜出来一个标着官方的[url]https://www.cstis.cn/[/url]，但公告原文说的链接是上面那个，不知道有什么问题。
平台本身是和前面那个规定一起出来的，今年8月31开始上线。
使用平台，不管是提交还是查看，都需要实名注册。之前有个帖子有截图，我就不注册了。

11月24 - 根据多方报道，这时候Bug就提交给Log4J组了
11月30 - Log4J打了第一个补丁
12月6 - 第一个没啥用的补丁版本发布了，如果有人关注Log4J的发布页面，估计能猜到发生了啥，以及如何利用
12月9 - CVE公布了这个漏洞
12月10 - 各种POC(概念验证，实际上就是漏洞利用程序，只是不包含破坏部分，稍微改改就能用)
后续还有各种事件，比如Log4J虽然堵上了执行命令的漏洞，但是打电话那个还是有，等等。
根据之前有个帖子的截图，cnvdb也是这时候才收录的漏洞。