网站首页互联网 >正文
新的研究声称,尽管Log4j漏洞在两年前就被发现并进行了修补,但它仍然对世界各地的企业构成重大威胁。Veracode的一份报告认为,企业在修补端点方面不够勤奋,该报告分析了2023年8月15日至11月15日期间90天内的软件扫描数据,针对运行Log4j版本1.1至3.00的38,278个独特应用程序-alpha1,涵盖3,866个组织。
数据显示,近五分之二(38%)的应用程序目前正在运行易受攻击的Log4j版本:2.8%运行带有Log4Shell漏洞的Log4j(Log4j22.0-beta9到2.15.0),3.8%运行Log4j22.17.0,该版本针对Log4Shell漏洞进行了修补,但包含CVE-2021-44832,并且32%使用Log4j21.2.x,该版本已于2015年8月停止使用,因此不再受补丁支持。大约两年前,即2022年1月,Apache表示该版本包含三个严重漏洞:CVE-2022-23307、CVE-2022-23305和CVE-2022-23302。
Veracode总结道,虽然数据表明修复Log4Shell漏洞并降低恶意软件滥用零日漏洞的风险已付出了“巨大努力”,但即使在发现两年后,仍有很大的改进空间。
“如果说Log4Shell是一系列要求采用更严格的开源安全实践的警钟中的另一个例子,那么目前超过三分之一的应用程序运行易受攻击的Log4j版本这一事实表明,还有更多工作要做。”
Veracode的研究人员得出的结论是,许多组织可能甚至没有意识到他们在集成开源软件时面临的风险有多大。
该公司的另一份报告发现,几乎80%的情况下,开发人员将第三方库纳入代码库后从未更新过,这可以解释为什么仍有如此多过时的Log4j代码实例仍在使用。
版权说明:本站所有作品图文均由用户自行上传分享,仅供网友学习交流。若您的权利被侵害,请联系我们
相关文章:
- 2023-12-12如何使用ChaGPT加速您的业务沟通
- 2023-12-11微软的下一代Windows具有突破性的新人工智能功能听起来相当令人兴奋
- 2023-12-11微软希望帮助macOS用户最终彻底解决最烦人的打印问题
- 2023-12-11Apple2024年iPad可能会在此时发布
- 2023-12-11RaspberryPiOS的深色模式今年为你的库存增添了更多煤炭
- 2023-12-10如何使用IroncladRivet无需编码即可直观地构建AI应用程序
- 2023-12-09自2023年12月13日起可访问GoogleGeminiProAPI
- 2023-12-08小岛秀夫的下一款游戏是Xbox独占游戏OD
- 2023-12-08ArkaneLyon和MarvelGames正在开发一款新的Blade单人游戏
- 站长推荐
- 栏目推荐