长亭百川云 - 文章详情

今天不谈技术,只喷人

漕河泾小黑屋

38

2024-07-13

作为非安全圈(主要是门槛太高,进不去)非著名喷子,今天不谈技术,不谈漏洞,回归喷子本质。在经历完48小时 Log4j 的魔幻应急后, 我们这帮圈外喷子再次感叹,漏洞质量真的高,但有些人人品不太行。黑屋喷子们把这些人粗略划分为成这几类:偷偷修漏洞的既得利益者、Log4j、跟风凑热度者(包括漕河泾小黑屋)以及 “安全厂商”。

1. 偷偷修漏洞的既得利益者

这个漏洞在 2021年12月5日 的时候就已经提交了Commit[1],漏洞发现时间更早。部分厂商已经不慌不忙修了快一个礼拜了。

黑屋喷子们大概在周四下午从某董听到这个漏洞,起初是不信的,毕竟某董的嘴跑的比自家的威胁情报还快。后面发现这件事确实难为自家的威胁情报了,当时的互联网,包括 Log4j 官网,几乎没有相关漏洞信息。喷子们随即开始应急,然而截至周五中午,官网、Maven 上都没有发布已修复版本,官方也只提供了两个已修复问题的 Git tag。

部分厂商偷偷修漏洞,我没意见,毕竟安全部门对自家公司产品负有绝对责任。要么你做好保密工作,要么你督促官方早点发布补丁,但你偷偷修又偷偷共享漏洞信息,这是为何?大方公告一下很难?还是计划周五快下班的时候再对外公布?

部分朋友在分析、复现漏洞的时候,还发生了不少小插曲,比如有些人明明知道 Payload 长啥样,但就是不告诉你,还在你面前炫耀一番。

2. Log4j

这么严重的漏洞,都已经修了快5天了,还不在 Maven、官网上发布公告和修复版本,确实不理解。但喷子们不想多喷,因为他们看不懂中文。

3. 跟风凑热度者

这些人包括漕河泾小黑屋,因为这篇文章难以避免地凑了 Log4j 的热度。

48小时内,小黑屋的票圈充斥着大量的 Log4j 硬文、软文、表情包。硬文可以理解,分析 Log4j 和提供解决方案本身;表情包也可以理解,苦中作乐。

但软文喷子们就真的无法理解,转发几个都 DNS Log 的图片、文章就显得高大上?引用漕河泾小黑屋第一黑客的原话:“说的他们好像打成了一样,一半都自己还没复现”。

4. “安全厂商”

这里特意给 “安全厂商”打了双引号,毕竟不是所有安全厂商都这样。部分厂商还是挺厚道的,提供、不断更新解决方案,比如某宇、某亭等(本公众号不差钱,没收广告费)。但有一些 “安全厂商”就过分了,抄都能抄错,不求你们能解决问题,但求你们别刷屏。

一些 “安全厂商”还打出 “率先xxx” 的广告语,你们要是真的这么能,怎么不在周一的时候“率先”一下?

有一些 “安全厂商”甚至在朋友圈嘲笑甲方企业,喷子们只能说,你们自己的 Log4j 都没修完,还有精力在这边调侃?

一家之言,难免有不妥之处,请大家见谅。

愿 2022 没有史诗级漏洞。


Reference:

[1] https://github.com/apache/logging-log4j2/commit/7fe72d6

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2