“核彈級(jí)” Log4j 漏洞仍普遍存在，并造成持續(xù)影響

出品：OSCHINA，編輯：白開(kāi)水不加糖 

來(lái)源：https://www.oschina.net/news/203874/log4j-the-pain-just-keeps-going-and-going

Log4j “核彈級(jí)” 漏洞 Log4Shell 或許將永遠(yuǎn)影響世界。

美國(guó)國(guó)土安全部 (DHS) 網(wǎng)絡(luò)安全審查委員會(huì) (CSRB) 近日發(fā)布了針對(duì)去年Log4Shell漏洞的調(diào)查報(bào)告：

https://www.cisa.gov/sites/default/files/publications/CSRB-Report-on-Log4-July-11-2022_508.pdf

CSRB 是今年 2 月才由 DHS 成立的機(jī)構(gòu)，職責(zé)是調(diào)查重大網(wǎng)絡(luò)安全事件，并提供包含提升國(guó)家網(wǎng)絡(luò)安全建議的報(bào)告。CSRB 首次調(diào)查的事件正是去年 Log4j 爆發(fā)的 “核彈級(jí)” 漏洞。

報(bào)告指出，雖然沒(méi)有跡象表明由于 Log4j 漏洞而發(fā)生重大網(wǎng)絡(luò)攻擊，但它仍將 “在未來(lái)幾年內(nèi)被利用”。國(guó)土安全部副部長(zhǎng) Rob Silvers 也表示：“Log4j 漏洞是歷史上最嚴(yán)重的軟件漏洞之一?！?/p>

CSRB 董事會(huì)提到，令人驚訝的是，Log4j 漏洞的利用程度低于專(zhuān)家的預(yù)期。他們還說(shuō)到，目前尚未發(fā)現(xiàn)針對(duì)關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)的重大 Log4j 攻擊，但有一些網(wǎng)絡(luò)攻擊沒(méi)有在報(bào)告中提到。

董事會(huì)表示，未來(lái)出現(xiàn)的攻擊很可能在很大程度上是因?yàn)?Log4j 經(jīng)常被嵌入到其他軟件，由于間接依賴導(dǎo)致企業(yè)很難發(fā)現(xiàn)在其系統(tǒng)中運(yùn)行。他們就減輕 Log4j 漏洞的影響以及總體上提升網(wǎng)絡(luò)安全提出了一些建議，其中包括建議大學(xué)和社區(qū)學(xué)院將網(wǎng)絡(luò)安全培訓(xùn)作為計(jì)算機(jī)科學(xué)學(xué)位和認(rèn)證計(jì)劃的必要部分。

根據(jù) sonatype 的統(tǒng)計(jì)數(shù)據(jù)(https://www.sonatype.com/resources/log4j-vulnerability-resource-center)，在 Maven Central 上，每個(gè)工作日易受攻擊的 Log4j 版本仍然有超過(guò) 100,000 次的下載量。

最后問(wèn)一句：你們的Log4j漏洞修復(fù)了嗎？留言區(qū)聊聊吧

我們創(chuàng)建了一個(gè)高質(zhì)量的技術(shù)交流群，與優(yōu)秀的人在一起，自己也會(huì)優(yōu)秀起來(lái)，趕緊點(diǎn)擊加群，享受一起成長(zhǎng)的快樂(lè)。另外，如果你最近想跳槽的話，年前我花了2周時(shí)間收集了一波大廠面經(jīng)，節(jié)后準(zhǔn)備跳槽的可以點(diǎn)擊這里領(lǐng)取！

推薦閱讀

• “12306”的架構(gòu)到底有多牛逼？
  
• Sentinel vs Hystrix 限流對(duì)比，到底怎么選？
  
• Spring 全家桶中的批處理框架，真心強(qiáng)大！
  

··································

你好，我是程序猿DD，10年開(kāi)發(fā)老司機(jī)、阿里云MVP、騰訊云TVP、出過(guò)書(shū)創(chuàng)過(guò)業(yè)、國(guó)企4年互聯(lián)網(wǎng)6年。從普通開(kāi)發(fā)到架構(gòu)師、再到合伙人。一路過(guò)來(lái)，給我最深的感受就是一定要不斷學(xué)習(xí)并關(guān)注前沿。只要你能堅(jiān)持下來(lái)，多思考、少抱怨、勤動(dòng)手，就很容易實(shí)現(xiàn)彎道超車(chē)！所以，不要問(wèn)我現(xiàn)在干什么是否來(lái)得及。如果你看好一個(gè)事情，一定是堅(jiān)持了才能看到希望，而不是看到希望才去堅(jiān)持。相信我，只要堅(jiān)持下來(lái)，你一定比現(xiàn)在更好！如果你還沒(méi)什么方向，可以先關(guān)注我，這里會(huì)經(jīng)常分享一些前沿資訊，幫你積累彎道超車(chē)的資本。

點(diǎn)擊領(lǐng)取2022最新10000T學(xué)習(xí)資料