新的研究聲稱，盡管Log4j漏洞在兩年前就被發(fā)現(xiàn)并進(jìn)行了修補(bǔ)，但它仍然對(duì)世界各地的企業(yè)構(gòu)成重大威脅。

Veracode的一份報(bào)告認(rèn)為，企業(yè)在修補(bǔ)端點(diǎn)方面不夠勤奮，該報(bào)告分析了2023年8月15日至11月15日期間90天內(nèi)的軟件掃描數(shù)據(jù)，針對(duì)運(yùn)行Log4j版本1.1至3.00的38,278個(gè)獨(dú)特應(yīng)用程序-alpha1，涵蓋3,866個(gè)組織。

數(shù)據(jù)顯示，近五分之二(38%)的應(yīng)用程序目前正在運(yùn)行易受攻擊的Log4j版本：2.8%運(yùn)行帶有Log4Shell漏洞的Log4j(Log4j22.0-beta9到2.15.0)，3.8%運(yùn)行Log4j22.17.0，該版本針對(duì)Log4Shell漏洞進(jìn)行了修補(bǔ)，但包含CVE-2021-44832，并且32%使用Log4j21.2.x，該版本已于2015年8月停止使用，因此不再受補(bǔ)丁支持。大約兩年前，即2022年1月，Apache表示該版本包含三個(gè)嚴(yán)重漏洞：CVE-2022-23307、CVE-2022-23305和CVE-2022-23302。

Veracode總結(jié)道，雖然數(shù)據(jù)表明修復(fù)Log4Shell漏洞并降低惡意軟件濫用零日漏洞的風(fēng)險(xiǎn)已付出“巨大努力”，但即使在發(fā)現(xiàn)兩年后，仍有很大的改進(jìn)空間。

“如果說(shuō)Log4Shell是一系列要求采用更嚴(yán)格的開(kāi)源安全實(shí)踐的警鐘中的另一個(gè)例子，那么目前超過(guò)三分之一的應(yīng)用程序運(yùn)行易受攻擊的Log4j版本這一事實(shí)表明，還有更多工作要做。”

Veracode的研究人員得出的結(jié)論是，許多組織可能甚至沒(méi)有意識(shí)到他們?cè)诩砷_(kāi)源軟件時(shí)面臨的風(fēng)險(xiǎn)有多大。

該公司的另一份報(bào)告發(fā)現(xiàn)，幾乎80%的情況下，開(kāi)發(fā)人員在將第三方庫(kù)包含到代碼庫(kù)中后從未更新過(guò)它們，這可以解釋為什么仍有如此多過(guò)時(shí)的Log4j代碼實(shí)例仍在使用。

　　免責(zé)聲明：本文由用戶上傳，與本網(wǎng)站立場(chǎng)無(wú)關(guān)。財(cái)經(jīng)信息僅供讀者參考，并不構(gòu)成投資建議。投資者據(jù)此操作，風(fēng)險(xiǎn)自擔(dān)。 如有侵權(quán)請(qǐng)聯(lián)系刪除！