总阅读量:

⭐⭐⭐ Spring Boot 项目实战 ⭐⭐⭐ Spring Cloud 项目实战
《Dubbo 实现原理与源码解析 —— 精品合集》 《Netty 实现原理与源码解析 —— 精品合集》
《Spring 实现原理与源码解析 —— 精品合集》 《MyBatis 实现原理与源码解析 —— 精品合集》
《Spring MVC 实现原理与源码解析 —— 精品合集》 《数据库实体设计合集》
《Spring Boot 实现原理与源码解析 —— 精品合集》 《Java 面试题 + Java 学习指南》

摘要: 原创出处 www.oschina.net/news/203874/log4j-the-pain-just-keeps-going-and-going 「白开水不加糖」欢迎转载,保留摘要,谢谢!

🙂🙂🙂关注**微信公众号:【芋道源码】**有福利:

  1. RocketMQ / MyCAT / Sharding-JDBC 所有源码分析文章列表
  2. RocketMQ / MyCAT / Sharding-JDBC 中文注释源码 GitHub 地址
  3. 您对于源码的疑问每条留言将得到认真回复。甚至不知道如何读源码也可以请教噢
  4. 新的源码解析文章实时收到通知。每周更新一篇左右
  5. 认真的源码交流微信群。

出品:OSCHINA,编辑:白开水不加糖

Log4j “核弹级” 漏洞 Log4Shell 或许将永远影响世界。

美国国土安全部 (DHS) 网络安全审查委员会 (CSRB) 近日发布了针对去年Log4Shell漏洞的调查报告:

https://www.cisa.gov/sites/default/files/publications/CSRB-Report-on-Log4-July-11-2022_508.pdf

CSRB 是今年 2 月才由 DHS 成立的机构,职责是调查重大网络安全事件,并提供包含提升国家网络安全建议的报告。CSRB 首次调查的事件正是去年 Log4j 爆发的 “核弹级” 漏洞。

报告指出,虽然没有迹象表明由于 Log4j 漏洞而发生重大网络攻击,但它仍将 “在未来几年内被利用”。国土安全部副部长 Rob Silvers 也表示:“Log4j 漏洞是历史上最严重的软件漏洞之一。”

CSRB 董事会提到,令人惊讶的是,Log4j 漏洞的利用程度低于专家的预期。他们还说到,目前尚未发现针对关键基础设施系统的重大 Log4j 攻击,但有一些网络攻击没有在报告中提到。

董事会表示,未来出现的攻击很可能在很大程度上是因为 Log4j 经常被嵌入到其他软件,由于间接依赖导致企业很难发现在其系统中运行。他们就减轻 Log4j 漏洞的影响以及总体上提升网络安全提出了一些建议,其中包括建议大学和社区学院将网络安全培训作为计算机科学学位和认证计划的必要部分。

根据 sonatype 的统计数据(https://www.sonatype.com/resources/log4j-vulnerability-resource-center),在 Maven Central 上,每个工作日易受攻击的 Log4j 版本仍然有超过 100,000 次的下载量。

最后问一句:你们的Log4j漏洞修复了吗?留言区聊聊吧

文章目录