Log4j 维护者:为向后兼容没移除导致漏洞的旧功能

开发 前端
Apache Log4j2 近日被公开的远程代码执行漏洞在全球引起了重大影响,Apache Log4j2 是一个基于 Java 的日志组件。该组件被大量用于业务系统开发,用来记录程序输入输出的日志信息,使用极为广泛。

Apache Log4j2 近日被公开的远程代码执行漏洞在全球引起了重大影响,Apache Log4j2 是一个基于 Java 的日志组件。该组件被大量用于业务系统开发,用来记录程序输入输出的日志信息,使用极为广泛。大多数情况下,开发者会将用户输入导致的错误信息写入日志中。

此次突然被公开的漏洞不仅导致使用 Log4j2 的开发者需要连夜“补锅”,更是让框架维护者也措手不及。Volkan Yazıcı 是 Apache 软件基金会 Logging Services 的 PMC 成员。据他描述,自漏洞被公开后,维护者一直忙于缓解漏洞,以及修复错误、文档和 CVE,与此同时还要回应他人的询问。但即便如此,他们还是遭受了许多严厉的批评乃至责骂——哪怕这是没有任何酬劳的工作。

Volkan 还提到,此次导致漏洞的旧功能其实早已打算移除(此漏洞本质是 Log4j2 的 lookup 方法存在 JNDI 注入),但为了保证向后的兼容性而一直保留。

当然也有人对 Volkan 的「向后兼容」原则有不同看法。他说道,如果开发团队想删除旧功能,不需要犹豫,按照自己的想法去做就行。如果使用它的人认为旧功能很重要,他们可以 fork 项目并自行维护 —— 自行承担时间精力和金钱成本。

作为一个开源的底层组件,Log4j2 的用户有不少是体量极大的互联网公司,诸如谷歌、苹果和亚马逊等。从 Volkan 推文的评论可以看到,不少人表示自己才知道,这些高市值高利润的公司并没有为这个底层基础组件投入任何支持,甚至维护者都是零报酬。

本文转自OSCHINA

本文标题:Log4j 维护者:为向后兼容没移除导致漏洞的旧功能

本文地址:https://www.oschina.net/news/173273/log4j-maintainer-response

 

责任编辑:未丽燕 来源: 开源中国
相关推荐

2022-03-25 13:42:15

Log4j漏洞网络安全

2021-12-23 09:47:36

Log4jRCE漏洞DoS漏洞

2021-12-22 16:53:31

Log4jLog4j库零日漏洞

2021-12-14 23:44:26

漏洞Log4j项目

2022-01-24 10:02:53

漏洞微软网络攻击

2021-12-23 11:03:25

Log4j 漏洞漏洞

2022-03-30 11:29:53

漏洞补丁Spring

2021-12-13 01:49:34

漏洞Log4j代码

2021-12-24 09:52:31

Traefik Log4J 漏洞

2021-12-29 14:47:43

Apache团队Log4j漏洞

2022-01-06 09:52:39

Log4j漏洞攻击

2021-12-11 19:04:38

漏洞

2023-11-10 10:08:23

2021-12-15 10:57:44

Java日志开源Go

2022-01-02 07:07:55

CISAApache Log4漏洞

2022-02-15 17:51:38

Log4j漏洞网络安全

2022-02-13 16:18:57

JetBrainsIntelliJLog4j

2021-12-16 12:27:15

Log4j漏洞网络安全

2021-12-23 19:20:43

漏洞赏金计划漏洞log4j

2022-01-07 07:51:58

Log4j漏洞攻击微软
点赞
收藏

51CTO技术栈公众号