标签 Log4j 下的文章

美国部分企业关键芯片的库存只能支持数天

美国商务部称,芯片短缺的情况将会持续,企业部分关键零部件的库存只能支撑不到五天。调查显示,关键芯片库存中值已从 2019 年的能够支撑 40 天下降到 2021 年的不到五天。与此同时,对芯片的需求也比 2019 年高出约 20%。调查显示,芯片供需存在严重、持续的错配,受访者认为这个问题在未来六个月内不会消失。

老王点评:看来未来的日子还将继续艰难。

谷歌宣告放弃 FLoC

谷歌两年来一直计划用其他技术来取代 Cookie,以向用户提供有针对性的广告,其使用的是一个名为 FLoC 的系统。FLoC,即“群组联合学习”,将通过使用一个浏览器内的算法来取代 Cookie。该算法将分析用户的浏览历史以确定用户的“兴趣群组”,而广告商根据群组精准投放。其设计初衷是为用户提供一定程度的隐私,但谷歌表示 FLoC 可能不足以保护用户的身份。此外,该系统也遭受到广告商的强烈反对,并在欧盟受到投诉。多家基于 Chromium 的浏览器开发商也都决定禁用 FLoC。周二,谷歌表示向有关拟议的投诉让步,转而计划采取 不同的方法

老王点评:本质上,谷歌就是一家广告公司,所以它设计的方案自然得不到信任。

由于积极行动,大规模的 Log4j 攻击没有到来

Sophos 认为,因为该漏洞的严重性使数字和安全社区团结起来,激励人们采取行动,攻击者大规模利用 Log4j 漏洞的直接威胁 被避免了。该公司指出,在 12 月 20 日至 23 日期间,被其防火墙阻止的 Log4j 攻击达到顶峰,然后在 1 月期间逐渐减少。

老王点评:但这并不意味着我们已经摆脱了风险,在未来几年会持续有黑客利用这些漏洞发起攻击。

Log4j 发布新 2.17 补丁解决拒绝服务漏洞

由于在周二发布的 Log4j 2.16 版被发现一个 拒绝服务 的高危漏洞,Log4j 周五发布了新的版本。攻击者可以制作包含递归查找的恶意输入数据,导致堆栈错误,从而终止进程。此外,安全研究人员声称发现一种新的 Log4j 攻击载体,可以通过私有网络甚至是本地回环地址上的监听端口来利用,即便是你的进程没有监听外部网络端口都有可能被利用。而谷歌也 发布报告 称 Maven 上有 8% 的软件包,多达 35,863 个可用的 Java 工件受到 Log4j 漏洞影响,而目前只有 5000 多个进行了修复。

老王点评:继续补吧。不过我觉得这个事情更大的意义在于,让人们反思开源基础设施贡献和回报不对等的问题。应该有一种机制评估某个基础设施的重要性,应该有一种机制来根据受益程度做出相应付出。这可能不仅仅是纯理想化的开源许可证问题。

素有“开源 Windows” 之称的 ReactOS 发布新版本

ReactOS 旨在实现与微软 Windows 的二进制兼容,它在一年半之后发布了一个大更新,嗯小版本号增加了一个数字,从 0.4.13 升级到了 0.4.14,带来了诸多新变化。

老王点评:看起来还不错,可以试试。

科学家们正在准备发射价值 100 亿美元的韦伯望远镜

在经过多年的拖延,花费了超过 100 亿美元,该望远镜终于计划从法属圭亚那的一个欧洲发射场升空,前往距离月球另一侧 100 万英里的地方。但即使阿丽亚娜 5 号火箭将其送入轨道,在接下来的一个月里,它将得执行一系列有 344 个“单点故障”的操作,以展开镜面和防护膜。一旦出了问题,没有任何人类或机器人可以干预和救援。如果一切顺利,将使人类可以看到宇宙刚刚诞生一亿年时的光景。韦伯太空望远镜将是哈勃太空望远镜的继承者。目前计划在 12 月 24 日发射

老王点评:这样看起来,太空工程的可靠性远远不高啊。

带有有安全缺陷的 Log4J 的火星直升机

灵巧号火星直升机在 12 月 5 日的第 17 次飞行中飞行了 30 分钟,这创造了新的记录。但在飞行结束时,直升机向地面下降时,飞行中的数据流意外地被切断。而之前 Apache 基金会曾骄傲地宣称灵巧号的软件里有 Log4J,因此人们怀疑是不是火星直升机也受到了该漏洞影响。不过,Log4J 漏洞披露于 12 月 9 日,而飞行活动发生在 5 日,这两个事件 完全没有联系。即便有可能,利用火星上的 Log4J 漏洞的概率也微乎其微:要攻击机器,必须将特别制作的文本发送到硬件上,并由有漏洞的库记录下来。要发生这种情况,除非内部人才能做到。

老王点评:虽然现在的飞行器处于隔离的网络环境中,但是也不好说完全不受到安全漏洞影响。而更可怕的是,将来跨越太空的网络攻击可能离我们不远了。

明年有望在苹果 M1 芯片上见到日常可用的 Linux

旨在为苹果 M1 芯片提供 Linux 支持的 Asahi Linux 项目已经完成了 许多目标。Linux 5.17 带来了更多的苹果 M1 驱动,但现在的状况还没有为最终用户做好准备。他们已经支持了触摸板和键盘,对音频播放、耳机插孔等也提供了补丁。不仅是原始的 M1,还有对最近的 M1 Pro 和 M1 Max 的支持工作。但仍需解决的工作包括 CPU 频率缩放、系统睡眠和 CPU 深度睡眠支持、完善 NVMe 存储、WiFi 驱动等补丁,以及 GPU 加速和各种固件问题。2022 年有望完成更多工作,以便在苹果 M1 硬件上形成一个日常可用的 Linux 系统。

老王点评:这就是开源的力量。但是我好奇的是,为什么苹果一直装聋作哑。

明年勒索软件的状况将更糟糕

勒索软件现在是企业的主要威胁,而安全专家认为这种犯罪 在未来将更严重。在过去的几年里,勒索软件运营商从无组织的团伙和个人,发展到针对从中小企业到软件供应链的各个层面的、高度复杂的运营机构和各个独立团队间的合作。勒索软件感染不再是网络攻击的最终目标,已经成为旨在从受害组织那里获得勒索付款的一个组成部分。安全专家认为,勒索软件即服务(RaaS)将在 2022 年继续蓬勃发展,甚至可能进一步发展为一种订阅模式,即你付钱给犯罪团伙,让他们不要针对你。

老王点评:勒索软件攻击已经成为企业必须为之列支的风险之一了。

“Windows 终端”成为 Windows 11 的默认终端程序

2019 年微软发布了 “Windows 终端”,它受到了 Linux 上的终端程序的很多启发,支持标签等现代体验。微软不断为其添加了更多功能,包括丰富的颜色、表情符号,甚至为它设计了字体。更好的是,它是以 MIT 许可证 开源 的。从 2022 年开始,微软将把 “Windows 终端” 作为 Windows 11 上的默认终端程序。

老王点评:不管怎么说,微软拥抱(吞噬)开源以来,给开源世界添加了不少好东西。

Log4j 漏洞在 72 小时内发生超 84 万起攻击

最近披露的 Log4j 漏洞已经 波及全球,ESET 数据显示,该漏洞在美国、英国、土耳其、德国和荷兰被利用的数量最多。安全研究人员甚至观察到每分钟超过 100 次的 Log4j 攻击。广泛使用的 Java 框架,如 Apache Struts 等,极易受到 Log4j 漏洞的影响。黑客已经利用 Log4j 漏洞来接管受害者的计算机,以执行从加密货币挖矿、发送垃圾邮件、到通过大型僵尸网络发起 DDoS 攻击的任何事情。针对这个漏洞,Log4j 先后发布了 两个补丁 来解决,而在最新的补丁中,对这个漏洞的解决方案是完全禁用 JNDI 功能。

老王点评:虽然完全禁用 JNDI 肯定会损失一些功能,但是目前看来只能这样。尽快打补丁吧。

IBM POWER10 CPU 对开源不友好

虽然 POWER CPU 对开源友好,普遍受到自由软件社区的好评,但 IBM 最新一代的 POWER10 处理器却有可能改变这种局面。并不是所有的 POWER10 固件都是开源的,而且没有迹象表明这在短期内会改变。当涉及到 DDR 内存支持和 PCI Express 时,POWER10 仍然需要那些不开源的二进制固件。这为提供完全自由的 POWER 系统造成了 困扰

老王点评:说到底,开源对于很多企业来说,只是补充而不是根本。