最近几天，世超在各家互联网大厂的程序员朋友们，都快被一个叫 Log4Shell 的史诗级漏洞给折磨疯了！
这个漏洞源于一个叫 Log4J2 （ Log For Java 2 ）的 Java 开源日志框架，它在用 Java 敲代码的码农群体里可以说是无人不知，无人不晓。

文章插图
它就好像早年间打《 魔兽世界 》一定要装的大脚插件一样，属于真正意义上的 “ 咖啡伴侣 ” ，很少有 Java 程序不用这个组件。

文章插图
就是这么一个要命的底层日志框架，被发现透了一个洞。。。
最先发现漏洞的，是阿里云安全团队中，一位叫 Chen Zhaojun 的大佬。
据他的说法，这个漏洞很早就被国外的安全代码扫描平台扫出来了，圈内的程序员大佬们也都在等待官方的修复，没有声张。
“ 上百万刀的安全架构，在 Log4J2 漏洞面前一文不值。。。 ” ▼

文章插图
很快啊，包括了阿里、腾讯、百度、网易、新浪等一众国内的互联网大厂纷纷中枪，都被圈在了受影响的范围之内。
有博主还收到了腾讯云发来的防护短信。 ▼

文章插图
不仅仅是大厂的服务系统，耳机、电脑、车机等硬件系统等也无一幸免。。。

文章插图
不夸张的说，这个漏洞要是不及时修补，下场就是被如饥似渴的黑客们捅烂，进一步威胁网络安全。
他们会有效利用 “ 零日漏洞 ” （ 指的是发现后立即被恶意利用的安全漏洞 ）发动零时差攻击，抢在安全补丁出来之前，对服务器造成杀伤。

文章插图
就连我们日常使用的手机、电脑软件（ 大部分都是拿 Java 写的 ），也都将暴露在黑客的的攻击范围内，想捅哪里捅哪里，把你的电脑挟持过来挖矿也不是没可能。
就和打游戏偷家似的， so easy 。。。
不过有意思的是，也有乐子人利用这个漏洞，发现了特斯拉把国内数据上传到美利坚服务器的尴尬事儿。

文章插图
不知道这个数据有没有包含用户数据，但我建议龙马哥先别急着解释这茬了，还是赶紧把这个漏洞修修吧，不然到时候可能真的不好收场。

文章插图
咳咳，扯远了。。。
说回这次的漏洞，最可怕的地方在于实现起来没什么门槛，只要用一串简单的字符，就能轻易攻破服务器，并在上面运行各种代码。。。
这别说是窃取个人信息了，黑客想要远程挟持、瘫痪企业级的服务器，那也是毫无阻碍。
那黑客到底是怎么样利用漏洞，用几串字符就轻松攻破服务器的呢？

文章插图
要整明白这个问题，我们得先搞清楚啥是日志。
众所周知啊，程序员在敲完一段代码之后，肯定不可能马上拿来用，而要通过反复的测试来验证代码的可行性。

文章插图
但代码本身在跑的时候，处于一个黑箱状态，如果放任它瞎跑的话，跑到一半卡住，根本不知道是错在哪一步上。
这就好像是做数学题时候如果没草稿纸，在心里算总是没个底。

• 5G|华为利用5G毫米波发现园区入侵者，这让美国5G联盟情何以堪
• 鸿蒙os|麒麟9000再度发力，华为高精度导航让你出行不迷糊
• 信息科学技术学院|瞧不起中国芯？芯片女神出手，30岁斩获国际大奖，让美国哑口无言
• 发现最小白矮星，其大小相当于月亮，这让科学家很兴奋
• 本周华为小米相继报出的新闻，让我看到中国科技公司未来发展希望
• 6g|港媒：中国又在这一领域让美国寝食难安
• 腾讯|前腾讯员工爆料：鹅厂的末位淘汰制让人心理崩溃！
• 美国|“绝不能让中国芯片供应自主计划得逞!”美国这回彻底不装了
• Windows|如果美国让微软断供中国windows系统，不会出现什么影响
• |美国美梦落空！中国北斗芯片问世，或让GPS彻底退出中国市场