Log4j 依然是企业面临的重大安全隐患

主要要点

Apache Log4j 软件的易受攻击版本在 38 的应用程式中被发现。多数相关应用程式使用的是 2015 年已停止支援的 Log4j2 12x 版本。标记为 CVE202323302、CVE202323305 和 CVE202323307 的重大安全漏洞凸显了持续的风险。尽管 Log4Shell 漏洞的影响较少，但仍需发展加强开源安全的措施。

根据 TechRadar 报导，从 8 月 15 日到 11 月 15 日之间，38 的应用程式中都观察到了存在安全漏洞的 Apache Log4j 软件。大多数受影响的应用程式使用的是 Log4j2 12x 版本，该版本在 2015 年 8 月已停止支援，并且对于追踪到的重大漏洞即 CVE202323302、CVE202323305 和 CVE202323307存在脆弱性。另外，部分其他实例则受到 Log4Shell 漏洞或 CVE202144832 漏洞的影响，根据 Veracode 的报告，这强调了 Log4j 仍然是企业的一个重要安全考量。

漏洞类型CVE 编号版本通用漏洞CVE202323302Log4j2 12x通用漏洞CVE202323305Log4j2 12x通用漏洞CVE202323307Log4j2 12xLog4Shell 漏洞CVE202144832受影响的应用程式

根据研究人员的分析，尽管 Log4Shell 漏洞的影响比例较低，显示组织在修复该缺陷上有所努力，但仍有更多的工作要做。Veracode 表示：如果 Log4Shell 是一连串提醒企业采取更为严苛的开源安全实践的警钟之一，那么目前仍有超过三分之一的应用程式运行著易受攻击的 Log4j 版本，显示我们的工作尚未完成。

黑洞加速器老版本