新的研究声称，尽管Log4j漏洞在两年前就被发现并进行了修补，但它仍然对世界各地的企业构成重大威胁。Veracode的一份报告认为，企业在修补端点方面不够勤奋，该报告分析了2023年8月15日至11月15日期间90天内的软件扫描数据，针对运行Log4j版本1.1至3.00的38,278个独特应用程序-alpha1，涵盖3,866个组织。

数据显示，近五分之二(38%)的应用程序目前正在运行易受攻击的Log4j版本：2.8%运行带有Log4Shell漏洞的Log4j(Log4j22.0-beta9到2.15.0)，3.8%运行Log4j22.17.0，该版本针对Log4Shell漏洞进行了修补，但包含CVE-2021-44832，并且32%使用Log4j21.2.x，该版本已于2015年8月停止使用，因此不再受补丁支持。大约两年前，即2022年1月，Apache表示该版本包含三个严重漏洞：CVE-2022-23307、CVE-2022-23305和CVE-2022-23302。

Veracode总结道，虽然数据表明修复Log4Shell漏洞并降低恶意软件滥用零日漏洞的风险已付出了“巨大努力”，但即使在发现两年后，仍有很大的改进空间。

“如果说Log4Shell是一系列要求采用更严格的开源安全实践的警钟中的另一个例子，那么目前超过三分之一的应用程序运行易受攻击的Log4j版本这一事实表明，还有更多工作要做。”

Veracode的研究人员得出的结论是，许多组织可能甚至没有意识到他们在集成开源软件时面临的风险有多大。

该公司的另一份报告发现，几乎80%的情况下，开发人员将第三方库纳入代码库后从未更新过，这可以解释为什么仍有如此多过时的Log4j代码实例仍在使用。

版权说明：本站所有作品图文均由用户自行上传分享，仅供网友学习交流。若您的权利被侵害，请联系我们

标签：