“怎么样,我们的损失大不大?”温良脸上水静无波,心绪平静。
重视没错,可反正事情已经发生,怎么都得接受,没必要为难自己,面对就完事了。
李泽爽朗的笑声从听筒中传出:“不用着急,我们现在还是零损失!”
“嗯?”
“好奇吧?”
“当然,老苗头给我的消息,能严重到他都知道……”
“原来如此!”
说着,李泽收敛了笑意:“知道你身边有人,排查也花了不少时间,就没有着急联系你,从目前的情况来看,已经可以肯定我们会受到的影响微乎其微,可以忽略不计。”
接着李泽详细解释了情况:“我们所有对外的服务系统里面只有早期ache刚推出时用过这个日志组件,后来因为其开源特性我们弃用了。”
“其中,因为星辰云系统我们花了很大心血自主研发,几乎所有第三方开源组件都只是以作参照物而不会并入正式版,所以星辰云服务等对外的企业级产品也不受影响。”
“而目前逐步进入试点运行的星辰服务系统更是甚少引入过第三方开源组件。”
“另一方面,因为星辰体系的完全自主研发性质,对一些模块的定义是与目前主流系统全然不同的,比如很大一部分适用于其它系统平台的命令行乃至调用参数的方式等都存在一些定义层面的不同……这当时是因为要规避各类专利侵权风险。”
“总之,得益于你最开始强调的合规性、自主性,我们所有的自主平台在初期虽然走得十分艰难,需新造了一套体系,但也正因为如此,所以因与众不同而安全。”
说完这些,李泽转而说道:“根据集团网络安全与用户隐私大部门下的网络安全部门反馈,这个漏洞已被阿里云提交给了ache,另据可靠消息ache已经开始测试补丁方案,不日将推出。”
“公司相关人员经过海量分析,评估出了这個日志组件漏洞的影响范围,比非常严重还要严重,预估是近年来发现的最严重的计算机漏洞!”
“攻击门槛之低超乎想象,攻击者能通过攻击漏洞获得的操作权限堪称无限!而且据不完全统计,几乎所有ava类框架都会用这个日志组件,使用范围之广也很罕见。”
听完李泽简短的描述,温良笑了起来:“准备准备,阿里系要遭大殃了。”
“怎么说。”李泽没有着急激动,连语气都认真了起来。
温良耐心的回答道:“阿里云发现了漏洞并报告给开发的行业组织ache,哪怕只是优先报告,在后续交流中知道漏洞的影响范围有共享给包括工信在内的相关主管单位,也没事;
但阿里云没有,不仅是发现时不共享,也不仅仅是知道严重情况后还不共享,哪怕是在工信现在已经主动发现了漏洞的情况下,还是没有通气……
偏偏漏洞影响范围广、攻击门槛低、攻击还堪称无所不在,又是在这种关键时候,你说他不遭殃,谁遭殃?”
李泽很快想到了关键点:“印象中相关单位的流程不是很清晰,而且阿里云是普通企业,能找借口解释吧?”
温良反问:“你觉得以阿里云当下的发展态势,它家业务广泛不?”
“明白了。”李泽这才兴奋起来,“我会好好准备的,你且等着看戏吧,我们在前期因为没法拿到专利授权、初期因为阿美莉卡人为管束得不到新授权所多花费的每一分研发成本都会在不久的将来赚回来!”
温良倒是很平静:“不要先出头,等一等工信的公告,也别通知友商了,能通知他们的时候会有人主动通告的,我们不要多管闲事。”
李泽应声。
结束通话后,温良翻了翻手机,查收了一封几分钟前才抄送给他的公司邮件,内容是简明扼要的描述了这个叫og4j2的组件漏洞前因后果和影响范围。m.ζgx.
没有因邮件收件方可能不懂技术而缩略技术分析过程。
博浪的内部流程本来就有一些规定,糊弄的事情不是没有,而是只要带了脑子就不会把掺杂糊弄的事情抄送给温良他们这些高管。
温良他们是可能不懂技术,但偌大一个博浪,难道找不出一个懂技术的?
而且泛技术部门的人只要带了脑子上班,就应当清楚主要的两个经常在公司出没的技术总工是创始人团队成员。
一个是李博文,一个是孙宝银。
更别说另一创始人团队成员张郁林是自研操作系统总工啊……这踏马去糊弄技术内容,比主动离职要更痛快一些。
事实上,让温良去敲代码是真敲不出来,但让他看技术流程原理……呵呵,你说他能懂不懂吧。
这几把东西如果毫无参照的情况下,确实模模糊糊,但真要有内容摆在眼前,那是能轻易串起来的。
翻了三分钟的样子,温良啧啧称叹:“这都属于惯性思维漏洞了,如果当时我还在技术岗位,这玩意估计我有可能发现……”
本章未完,请翻下一页继续阅读.........