作為開發人員,我們不斷地應對功能、修復和截止日期。然而,令人驚訝的是,一個潛在的問題被忽略了:在許多專案中繼續使用易受攻擊的 Log4j 和 Spring Framework 版本。儘管 Log4Shell 和 Spring4Shell 漏洞備受矚目,但數量驚人的應用程式仍在這些定時炸彈上運行。這不僅僅是一個小疏忽,而是一個重大風險。我們本質上是建設者,但建設的一部分是確保我們的結構安全。
開發商的困境
身為開發人員,我們不斷平衡推出新功能和維護現有專案和功能。這是一種平衡行為,需要我們的時間和充分的認知頻寬。追蹤每個專案的依賴關係,同時確保它們是最新的,感覺就像一場艱苦的戰鬥,特別是當面臨交付新功能的壓力時。在這種雜耍行為中,像 Log4Shell 和 Spring4Shell 這樣的關鍵漏洞有時可能會被忽視,這不是由於疏忽,而是由於我們每天管理的任務量龐大。然而,必須認識到,令人興奮的應用程式的安全性是當今軟體開發的關鍵方面。
Log4shell的目前狀態
還記得 Log4Shell 嗎? 2021 年發現的 Apache Log4j 中的令人討厭的漏洞可能會讓攻擊者透過記錄特殊字串在您的伺服器上運行程式碼?攻擊者可以使用 LDAP 協定的 JNDI 查找來注入預先編譯的類別檔案並執行惡意程式碼。即使在較新版本的 Java 中,此漏洞也可能因反序列化攻擊而導致損壞。這個嚴重漏洞的攻擊複雜性被認為非常低,這使得威脅比平常更高。請查看我們的部落格文章,以了解問題的完整詳情。
超過 20% 的公司仍然容易受到 Log4shell 的攻擊。
如今,許多公司的專案之一中仍然存在過時且易受攻擊的 Log4j 庫版本。在所有掃描其生產程式碼是否有漏洞的 Snyk 客戶中,21% 的專案仍容易受到 Log4Shell 的影響。這意味著超過 60k 個專案仍面臨著因 2 年前披露和修復的漏洞而遭到破壞的風險。那是巨大的!知道這些公司已經使用安全工具並正在積極緩解他們遇到的安全問題,因此漏洞的 log4j 版本的實際數量將遠高於此。這個想法不僅令人恐懼,而且非常令人不安。
Spring4Shell 在野外
另一個臭名昭著的例子是 Spring4Shell,它於 2022 年 3 月被披露。 spring-beans 中的漏洞也可能導致惡意遠端執行程式碼。雖然攻擊複雜度較低,且有針對特定案例的利用,但影響不如Log4Shell那麼大。查看專門的部落格文章以了解更多詳細資訊。
透過在 2022 年 4 月利用新的漏洞利用將此漏洞擴展到 Glassfish,Snyk 團隊證明了此漏洞非常重要,除了首次利用 tomcat 之外,還可能在更多情況下被濫用。
與Log4Shell類似,我們發現Spring4Shell在野外仍然適用。大約 35% 的客戶在其專案之一中仍然存在該漏洞。儘管 Spring4Shell 漏洞的風險不如 Log4Shell 那麼嚴重,但 Snyk 團隊透過識別和開發 Glassfish 的漏洞概念驗證 (POC) 展示了一系列潛在的漏洞利用。這證明看似較小的危險仍然可能導致重大的安全漏洞。尚未發布漏洞利用程式的事實並不意味著應用程式不會被漏洞破壞!
此外,它表明許多 Spring 應用程式依賴舊的、過時的框架版本,並且更新和服務現有應用程式被認為不重要。然而,內心深處,我們知道這是一顆不定時炸彈,隨時可能爆炸。
給所有維護應用程式的人敲響警鐘
讓我們保持簡單明了。我們都知道,當我們的程式碼最終順利運行時,我們會感到自豪,而我們最不想做的事情就是返回並搞亂它,尤其是對於像更新庫這樣愚蠢的事情。但事情是這樣的:這些 Log4Shell 和 Spring4Shell 漏洞不會自行修復。老實說,它們不僅僅是我們可以忽略的小錯誤。它們是我們應用程式牆上的漏洞。如果您的環境中仍然存在 Log4Shell 或 Spring4Shell 等漏洞,那麼您就不必要地容易受到高嚴重性攻擊!
Snyk 可以透過偵測並協助解決應用程式中的安全漏洞來幫助您解決此問題。它以多種方式與開發工作流程集成,例如透過Git 儲存庫、命令列介面(CLI) 或現有的持續集成(CI) 管道,使開發人員能夠在開發週期的早期識別安全風險,避免它們改變成更大的問題。註冊是免費的,可以立即使用其功能。然而,真正的價值在於發現的漏洞在識別後如何管理和解決。
我們必須在這裡承擔責任。這不僅僅是找到一個快速補丁或希望一個簡單的更新來解決問題。有時,我們需要進行硬調用來刪除或替換易受攻擊的函式庫。是的,這可能會讓我們放慢一點,這不是我們工作中最令人興奮的部分,但它至關重要。這是為了確保我們的程式碼是可靠的,不僅是為了今天,而且是為了長遠。
所以,我們不要等待其他人來解決這些問題。借助適當的工具,我們可以及早發現這些漏洞,但我們必須採取行動。我們有責任加強防禦、修補這些漏洞並確保我們的應用程式安全無虞。讓我們開始吧,不僅僅是作為程式設計師,而是作為那些支持他們工作的人,確保它盡可能安全。
以上是持續的威脅:為什麼像 Logell 和 Springell 這樣的重大漏洞仍然很嚴重的詳細內容。更多資訊請關注PHP中文網其他相關文章!
如何將Maven或Gradle用於高級Java項目管理,構建自動化和依賴性解決方案?Mar 17, 2025 pm 05:46 PM本文討論了使用Maven和Gradle進行Java項目管理,構建自動化和依賴性解決方案,以比較其方法和優化策略。
如何使用適當的版本控制和依賴項管理創建和使用自定義Java庫(JAR文件)?Mar 17, 2025 pm 05:45 PM本文使用Maven和Gradle之類的工具討論了具有適當的版本控制和依賴關係管理的自定義Java庫(JAR文件)的創建和使用。
如何使用咖啡因或Guava Cache等庫在Java應用程序中實現多層緩存?Mar 17, 2025 pm 05:44 PM本文討論了使用咖啡因和Guava緩存在Java中實施多層緩存以提高應用程序性能。它涵蓋設置,集成和績效優勢,以及配置和驅逐政策管理最佳PRA
如何將JPA(Java持久性API)用於具有高級功能(例如緩存和懶惰加載)的對象相關映射?Mar 17, 2025 pm 05:43 PM本文討論了使用JPA進行對象相關映射,並具有高級功能,例如緩存和懶惰加載。它涵蓋了設置,實體映射和優化性能的最佳實踐,同時突出潛在的陷阱。[159個字符]
Java的類負載機制如何起作用,包括不同的類載荷及其委託模型?Mar 17, 2025 pm 05:35 PMJava的類上載涉及使用帶有引導,擴展程序和應用程序類負載器的分層系統加載,鏈接和初始化類。父代授權模型確保首先加載核心類別,從而影響自定義類LOA
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
AI Hentai Generator
免費產生 AI 無盡。
熱門文章
熱工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
記事本++7.3.1
好用且免費的程式碼編輯器
MinGW - Minimalist GNU for Windows
這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。
EditPlus 中文破解版
體積小,語法高亮,不支援程式碼提示功能
SublimeText3 Linux新版
SublimeText3 Linux最新版
