作为非安全圈(主要是门槛太高,进不去)非著名喷子,今天不谈技术,不谈漏洞,回归喷子本质。在经历完48小时 Log4j 的魔幻应急后, 我们这帮圈外喷子再次感叹,漏洞质量真的高,但有些人人品不太行。黑屋喷子们把这些人粗略划分为成这几类:偷偷修漏洞的既得利益者、Log4j、跟风凑热度者(包括漕河泾小黑屋)以及 “安全厂商”。
1. 偷偷修漏洞的既得利益者
这个漏洞在 2021年12月5日 的时候就已经提交了Commit[1],漏洞发现时间更早。部分厂商已经不慌不忙修了快一个礼拜了。
黑屋喷子们大概在周四下午从某董听到这个漏洞,起初是不信的,毕竟某董的嘴跑的比自家的威胁情报还快。后面发现这件事确实难为自家的威胁情报了,当时的互联网,包括 Log4j 官网,几乎没有相关漏洞信息。喷子们随即开始应急,然而截至周五中午,官网、Maven 上都没有发布已修复版本,官方也只提供了两个已修复问题的 Git tag。
部分厂商偷偷修漏洞,我没意见,毕竟安全部门对自家公司产品负有绝对责任。要么你做好保密工作,要么你督促官方早点发布补丁,但你偷偷修又偷偷共享漏洞信息,这是为何?大方公告一下很难?还是计划周五快下班的时候再对外公布?
部分朋友在分析、复现漏洞的时候,还发生了不少小插曲,比如有些人明明知道 Payload 长啥样,但就是不告诉你,还在你面前炫耀一番。
2. Log4j
这么严重的漏洞,都已经修了快5天了,还不在 Maven、官网上发布公告和修复版本,确实不理解。但喷子们不想多喷,因为他们看不懂中文。
3. 跟风凑热度者
这些人包括漕河泾小黑屋,因为这篇文章难以避免地凑了 Log4j 的热度。
48小时内,小黑屋的票圈充斥着大量的 Log4j 硬文、软文、表情包。硬文可以理解,分析 Log4j 和提供解决方案本身;表情包也可以理解,苦中作乐。
但软文喷子们就真的无法理解,转发几个都 DNS Log 的图片、文章就显得高大上?引用漕河泾小黑屋第一黑客的原话:“说的他们好像打成了一样,一半都自己还没复现”。
4. “安全厂商”
这里特意给 “安全厂商”打了双引号,毕竟不是所有安全厂商都这样。部分厂商还是挺厚道的,提供、不断更新解决方案,比如某宇、某亭等(本公众号不差钱,没收广告费)。但有一些 “安全厂商”就过分了,抄都能抄错,不求你们能解决问题,但求你们别刷屏。
一些 “安全厂商”还打出 “率先xxx” 的广告语,你们要是真的这么能,怎么不在周一的时候“率先”一下?
有一些 “安全厂商”甚至在朋友圈嘲笑甲方企业,喷子们只能说,你们自己的 Log4j 都没修完,还有精力在这边调侃?
一家之言,难免有不妥之处,请大家见谅。
愿 2022 没有史诗级漏洞。
Reference:
