日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
超過(guò)30%的Log4J應(yīng)用程序使用存在漏洞的版本庫(kù)

Bleeping Computer 網(wǎng)站消息,大約有 38% 采用 Apache Log4j 庫(kù)的應(yīng)用程序使用的是存在安全問(wèn)題的版本,其中包括 Log4Shell 漏洞,該漏洞被追蹤為 CVE-2021-44228,盡管兩年多前就有了修補(bǔ)程序,但目前的嚴(yán)重程度仍達(dá)到了最高級(jí)別。

創(chuàng)新互聯(lián)建站成立于2013年,我們提供高端重慶網(wǎng)站建設(shè)成都網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)、網(wǎng)站定制、全網(wǎng)營(yíng)銷(xiāo)推廣、小程序設(shè)計(jì)、微信公眾號(hào)開(kāi)發(fā)、成都網(wǎng)站推廣服務(wù),提供專(zhuān)業(yè)營(yíng)銷(xiāo)思路、內(nèi)容策劃、視覺(jué)設(shè)計(jì)、程序開(kāi)發(fā)來(lái)完成項(xiàng)目落地,為樓梯護(hù)欄企業(yè)提供源源不斷的流量和訂單咨詢(xún)。

Log4Shell 是一個(gè)未經(jīng)驗(yàn)證的遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞,攻擊者可以利用其完全控制使用 Log4j 2.0-beta9 及以上版本 2.15.0 的系統(tǒng)。2021 年 12 月 10 日,研究人員首次發(fā)現(xiàn) Log4Shell 安全漏洞作,其廣泛的影響、易利用性和巨大的安全影響在當(dāng)時(shí)引起了行業(yè)巨大的“震動(dòng)”。

研究人員在發(fā)現(xiàn)安全漏洞問(wèn)題后,立刻向所有受影響的項(xiàng)目維護(hù)者和系統(tǒng)管理員發(fā)出了安全通知,然而壞消息是,雖然發(fā)出了無(wú)數(shù)警告依然有大量組織在補(bǔ)丁可用后繼續(xù)使用易受攻擊的版本。更糟糕的是,漏洞披露和修復(fù)程序發(fā)布兩年后,仍有大量目標(biāo)易受 Log4Shell 影響。

應(yīng)用程序安全公司 Veracode 根據(jù) 8 月 15 日至 11 月 15 日期間收集的數(shù)據(jù),編寫(xiě)了一份安全報(bào)告,在報(bào)告中,Veracode 強(qiáng)調(diào) Log4Shell 安全漏洞帶來(lái)的影響可能會(huì)持續(xù)很長(zhǎng)一段時(shí)間。

鞏固攻擊面

Veracode 從 3866 個(gè)組織收集了 90 天的數(shù)據(jù)信息,這些組織使用 38278 個(gè)依賴(lài) Log4j 的應(yīng)用程序,版本在 1.1 到 3.0.0 之間。 在這些應(yīng)用程序中,2.8% 使用 Log4J 版本 2.0-beta9 至 2.15.0,這些版本及其容易受到 Log4Shell 漏洞的直接影響。另有 3.8% 的應(yīng)用程序使用 Log4j 2.17.0,雖然這個(gè)版本不會(huì)受到 Log4Shell 漏洞的影響,但卻容易受到 CVE-2021-44832 漏洞的影響(CVE-2021-44832 是一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞,已在該框架的 2.17.1 版本中得到修復(fù)。)

32% 使用的是 1.2.x 版 Log4j ,該版本自 2015 年 8 月起已經(jīng)停止支持更新,這些版本易受 2022 年之前發(fā)布的多個(gè)嚴(yán)重漏洞的影響,其中包括 CVE-2022-23307、CVE-2022-23305 和 CVE-2022-23302等安全漏洞。

Veracode 還發(fā)現(xiàn),在其可見(jiàn)范圍內(nèi),總共約有 38% 的應(yīng)用程序使用了不安全的 Log4j 版本,這一比例與 Sonatype 的軟件供應(yīng)鏈管理專(zhuān)家在其 Log4j 面板上報(bào)告的情況非常接近,過(guò)去一周時(shí)間里,該庫(kù) 25% 的下載涉及到有漏洞的版本。

Log4j 版本下載 (Sonatype)

根據(jù) Veracode 的調(diào)查結(jié)果,79% 的開(kāi)發(fā)人員選擇在第三方庫(kù)首次納入代碼庫(kù)后則不再更新,以避免破壞功能。值得一提的是,即使 65% 的開(kāi)源庫(kù)更新包含不太可能導(dǎo)致功能問(wèn)題的小改動(dòng)和修復(fù),開(kāi)發(fā)人員也不愿意更新。

此外,研究還表明 50% 的項(xiàng)目需要 65 天以上的時(shí)間來(lái)解決高嚴(yán)重性安全漏洞,在人員不足的情況下,修復(fù)積壓項(xiàng)目中一半的漏洞需要比平時(shí)多花 13.7 倍的時(shí)間,而在缺乏信息的情況下,處理 50%的漏洞需要 7 個(gè)多月的時(shí)間。

不幸的是,從 Veracode 的調(diào)查數(shù)據(jù)來(lái)看,Log4Shell 安全漏洞并沒(méi)有像許多安全從業(yè)者希望的那樣敲響安全“警鐘”。恰恰相反,目前每三個(gè) Log4j 案例中就有 1 個(gè)存在安全風(fēng)險(xiǎn),而且很容易成為威脅攻擊者入侵特定目標(biāo)的途徑之一。

最后,安全研究專(zhuān)家強(qiáng)烈建議企業(yè)及時(shí)掃描其網(wǎng)絡(luò)環(huán)境,找出正在使用的開(kāi)源庫(kù)版本,然后為所有這些庫(kù)制定緊急升級(jí)計(jì)劃。

參考文章:https://www.bleepingcomputer.com/news/security/over-30-percent-of-log4j-apps-use-a-vulnerable-version-of-the-library/


網(wǎng)站名稱(chēng):超過(guò)30%的Log4J應(yīng)用程序使用存在漏洞的版本庫(kù)
文章路徑:http://m.5511xx.com/article/dhpipip.html