“核弹级” Log4j 漏洞仍普遍存在，并造成持续影响

出品：OSCHINA，编辑：白开水不加糖 

来源：https://www.oschina.net/news/203874/log4j-the-pain-just-keeps-going-and-going

Log4j “核弹级” 漏洞 Log4Shell 或许将永远影响世界。

美国国土安全部 (DHS) 网络安全审查委员会 (CSRB) 近日发布了针对去年Log4Shell漏洞的调查报告：

https://www.cisa.gov/sites/default/files/publications/CSRB-Report-on-Log4-July-11-2022_508.pdf

CSRB 是今年 2 月才由 DHS 成立的机构，职责是调查重大网络安全事件，并提供包含提升国家网络安全建议的报告。CSRB 首次调查的事件正是去年 Log4j 爆发的 “核弹级” 漏洞。

报告指出，虽然没有迹象表明由于 Log4j 漏洞而发生重大网络攻击，但它仍将 “在未来几年内被利用”。国土安全部副部长 Rob Silvers 也表示：“Log4j 漏洞是历史上最严重的软件漏洞之一。”

CSRB 董事会提到，令人惊讶的是，Log4j 漏洞的利用程度低于专家的预期。他们还说到，目前尚未发现针对关键基础设施系统的重大 Log4j 攻击，但有一些网络攻击没有在报告中提到。

董事会表示，未来出现的攻击很可能在很大程度上是因为 Log4j 经常被嵌入到其他软件，由于间接依赖导致企业很难发现在其系统中运行。他们就减轻 Log4j 漏洞的影响以及总体上提升网络安全提出了一些建议，其中包括建议大学和社区学院将网络安全培训作为计算机科学学位和认证计划的必要部分。

根据 sonatype 的统计数据(https://www.sonatype.com/resources/log4j-vulnerability-resource-center)，在 Maven Central 上，每个工作日易受攻击的 Log4j 版本仍然有超过 100,000 次的下载量。

最后问一句：你们的Log4j漏洞修复了吗？留言区聊聊吧

【热门内容】

一个注解搞定 SpringBoot 接口防刷，还有谁不会？

SpringBoot+Nacos+Kafka简单实现微服务流编排

新来的CTO规定所有接口都用 post 请求...

简直无语，又一个知名项目收费了。。已退出！

这是我见过写得最烂的Controller层代码，没有之一！

看看人家SpringBoot的全局异常处理多么优雅...

HTTP 3.0彻底放弃TCP，TCP到底做错了什么？

Redis 官方可视化工具，高颜值，功能真心强大！

领导：谁再用Redis过期监听实现关闭订单，立马滚蛋！

如何搭建一台永久运行的个人服务器？

300多本程序员经典技术书籍高清PDF
加我微信，备注：资料

扫码备注：资料，自动获