日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯網營銷解決方案
超過30%的Log4J應用程序使用存在漏洞的版本庫

Bleeping Computer 網站消息,大約有 38% 采用 Apache Log4j 庫的應用程序使用的是存在安全問題的版本,其中包括 Log4Shell 漏洞,該漏洞被追蹤為 CVE-2021-44228,盡管兩年多前就有了修補程序,但目前的嚴重程度仍達到了最高級別。

創(chuàng)新互聯建站成立于2013年,我們提供高端重慶網站建設、成都網站制作、成都網站設計、網站定制、全網營銷推廣、小程序設計、微信公眾號開發(fā)、成都網站推廣服務,提供專業(yè)營銷思路、內容策劃、視覺設計、程序開發(fā)來完成項目落地,為樓梯護欄企業(yè)提供源源不斷的流量和訂單咨詢。

Log4Shell 是一個未經驗證的遠程代碼執(zhí)行 (RCE) 漏洞,攻擊者可以利用其完全控制使用 Log4j 2.0-beta9 及以上版本 2.15.0 的系統。2021 年 12 月 10 日,研究人員首次發(fā)現 Log4Shell 安全漏洞作,其廣泛的影響、易利用性和巨大的安全影響在當時引起了行業(yè)巨大的“震動”。

研究人員在發(fā)現安全漏洞問題后,立刻向所有受影響的項目維護者和系統管理員發(fā)出了安全通知,然而壞消息是,雖然發(fā)出了無數警告依然有大量組織在補丁可用后繼續(xù)使用易受攻擊的版本。更糟糕的是,漏洞披露和修復程序發(fā)布兩年后,仍有大量目標易受 Log4Shell 影響。

應用程序安全公司 Veracode 根據 8 月 15 日至 11 月 15 日期間收集的數據,編寫了一份安全報告,在報告中,Veracode 強調 Log4Shell 安全漏洞帶來的影響可能會持續(xù)很長一段時間。

鞏固攻擊面

Veracode 從 3866 個組織收集了 90 天的數據信息,這些組織使用 38278 個依賴 Log4j 的應用程序,版本在 1.1 到 3.0.0 之間。 在這些應用程序中,2.8% 使用 Log4J 版本 2.0-beta9 至 2.15.0,這些版本及其容易受到 Log4Shell 漏洞的直接影響。另有 3.8% 的應用程序使用 Log4j 2.17.0,雖然這個版本不會受到 Log4Shell 漏洞的影響,但卻容易受到 CVE-2021-44832 漏洞的影響(CVE-2021-44832 是一個遠程代碼執(zhí)行漏洞,已在該框架的 2.17.1 版本中得到修復。)

32% 使用的是 1.2.x 版 Log4j ,該版本自 2015 年 8 月起已經停止支持更新,這些版本易受 2022 年之前發(fā)布的多個嚴重漏洞的影響,其中包括 CVE-2022-23307、CVE-2022-23305 和 CVE-2022-23302等安全漏洞。

Veracode 還發(fā)現,在其可見范圍內,總共約有 38% 的應用程序使用了不安全的 Log4j 版本,這一比例與 Sonatype 的軟件供應鏈管理專家在其 Log4j 面板上報告的情況非常接近,過去一周時間里,該庫 25% 的下載涉及到有漏洞的版本。

Log4j 版本下載 (Sonatype)

根據 Veracode 的調查結果,79% 的開發(fā)人員選擇在第三方庫首次納入代碼庫后則不再更新,以避免破壞功能。值得一提的是,即使 65% 的開源庫更新包含不太可能導致功能問題的小改動和修復,開發(fā)人員也不愿意更新。

此外,研究還表明 50% 的項目需要 65 天以上的時間來解決高嚴重性安全漏洞,在人員不足的情況下,修復積壓項目中一半的漏洞需要比平時多花 13.7 倍的時間,而在缺乏信息的情況下,處理 50%的漏洞需要 7 個多月的時間。

不幸的是,從 Veracode 的調查數據來看,Log4Shell 安全漏洞并沒有像許多安全從業(yè)者希望的那樣敲響安全“警鐘”。恰恰相反,目前每三個 Log4j 案例中就有 1 個存在安全風險,而且很容易成為威脅攻擊者入侵特定目標的途徑之一。

最后,安全研究專家強烈建議企業(yè)及時掃描其網絡環(huán)境,找出正在使用的開源庫版本,然后為所有這些庫制定緊急升級計劃。

參考文章:https://www.bleepingcomputer.com/news/security/over-30-percent-of-log4j-apps-use-a-vulnerable-version-of-the-library/


網站標題:超過30%的Log4J應用程序使用存在漏洞的版本庫
轉載來源:http://www.5511xx.com/article/dhpipip.html