1. 首页 >精选经验 > 综合经验 > 正文

Log4j仍然可能是世界各地企业的主要安全担忧

导读 新的研究声称,尽管Log4j漏洞在两年前就被发现并进行了修补,但它仍然对世界各地的企业构成重大威胁。Veracode的一份报告认为,企业在修补...

新的研究声称,尽管Log4j漏洞在两年前就被发现并进行了修补,但它仍然对世界各地的企业构成重大威胁。

Veracode的一份报告认为,企业在修补端点方面不够勤奋,该报告分析了2023年8月15日至11月15日期间90天内的软件扫描数据,针对运行Log4j版本1.1至3.00的38,278个独特应用程序-alpha1,涵盖3,866个组织。

数据显示,近五分之二(38%)的应用程序目前正在运行易受攻击的Log4j版本:2.8%运行带有Log4Shell漏洞的Log4j(Log4j22.0-beta9到2.15.0),3.8%运行Log4j22.17.0,该版本针对Log4Shell漏洞进行了修补,但包含CVE-2021-44832,并且32%使用Log4j21.2.x,该版本已于2015年8月停止使用,因此不再受补丁支持。大约两年前,即2022年1月,Apache表示该版本包含三个严重漏洞:CVE-2022-23307、CVE-2022-23305和CVE-2022-23302。

Veracode总结道,虽然数据表明修复Log4Shell漏洞并降低恶意软件滥用零日漏洞的风险已付出“巨大努力”,但即使在发现两年后,仍有很大的改进空间。

“如果说Log4Shell是一系列要求采用更严格的开源安全实践的警钟中的另一个例子,那么目前超过三分之一的应用程序运行易受攻击的Log4j版本这一事实表明,还有更多工作要做。”

Veracode的研究人员得出的结论是,许多组织可能甚至没有意识到他们在集成开源软件时面临的风险有多大。

该公司的另一份报告发现,几乎80%的情况下,开发人员在将第三方库包含到代码库中后从未更新过它们,这可以解释为什么仍有如此多过时的Log4j代码实例仍在使用。

标签:

免责声明:本文由用户上传,如有侵权请联系删除!