点击上方“芋道源码”,选择“设为星标”
管她前浪,还是后浪?
能浪的浪,才是好浪!
每天 10:33 更新文章,每天掉亿点点头发...
源码精品专栏
出品:OSCHINA
编辑:白开水不加糖
Log4j “核弹级” 漏洞 Log4Shell 或许将永远影响世界。
美国国土安全部 (DHS) 网络安全审查委员会 (CSRB) 近日发布了针对去年Log4Shell漏洞的调查报告:
https://www.cisa.gov/sites/default/files/publications/CSRB-Report-on-Log4-July-11-2022_508.pdf
CSRB 是今年 2 月才由 DHS 成立的机构,职责是调查重大网络安全事件,并提供包含提升国家网络安全建议的报告。CSRB 首次调查的事件正是去年 Log4j 爆发的 “核弹级” 漏洞。
报告指出,虽然没有迹象表明由于 Log4j 漏洞而发生重大网络攻击,但它仍将 “在未来几年内被利用”。国土安全部副部长 Rob Silvers 也表示:“Log4j 漏洞是历史上最严重的软件漏洞之一。”
CSRB 董事会提到,令人惊讶的是,Log4j 漏洞的利用程度低于专家的预期。他们还说到,目前尚未发现针对关键基础设施系统的重大 Log4j 攻击,但有一些网络攻击没有在报告中提到。
董事会表示,未来出现的攻击很可能在很大程度上是因为 Log4j 经常被嵌入到其他软件,由于间接依赖导致企业很难发现在其系统中运行 。他们就减轻 Log4j 漏洞的影响以及总体上提升网络安全提出了一些建议,其中包括建议大学和社区学院将网络安全培训作为计算机科学学位和认证计划的必要部分。
根据 sonatype 的统计数据(https://www.sonatype.com/resources/log4j-vulnerability-resource-center),在 Maven Central 上,每个工作日易受攻击的 Log4j 版本仍然有超过 100,000 次的下载量。
最后问一句:你们的Log4j漏洞修复了吗?留言区聊聊吧
欢迎加入我的知识星球,一起探讨架构,交流源码。加入方式,长按下方二维码噢:
已在知识星球更新源码解析如下:
最近更新《芋道 SpringBoot 2.X 入门》系列,已经 101 余篇,覆盖了 MyBatis、Redis、MongoDB、ES、分库分表、读写分离、SpringMVC、Webflux、权限、WebSocket、Dubbo、RabbitMQ、RocketMQ、Kafka、性能测试等等内容。
提供近 3W 行代码的 SpringBoot 示例,以及超 4W 行代码的电商微服务项目。
获取方式:点“在看”,关注公众号并回复 666 领取,更多内容陆续奉上。
文章有帮助的话,在看,转发吧。
谢谢支持哟 (*^__^*)
扫一扫
3048
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
