作为开发人员,我们不断地应对功能、修复和截止日期。然而,令人惊讶的是,一个潜在的问题被忽视了:在许多项目中继续使用易受攻击的 Log4j 和 Spring Framework 版本。尽管 Log4Shell 和 Spring4Shell 漏洞备受瞩目,但数量惊人的应用程序仍在这些定时炸弹上运行。这不仅仅是一个小疏忽,而是一个重大风险。我们本质上是建设者,但建设的一部分是确保我们的结构安全。
开发商的困境
作为开发人员,我们不断平衡推出新功能和维护现有项目和功能。这是一种平衡行为,需要我们的时间和充分的认知带宽。跟踪每个项目的依赖关系,同时确保它们是最新的,感觉就像一场艰苦的战斗,特别是当面临交付新功能的压力时。在这种杂耍行为中,像 Log4Shell 和 Spring4Shell 这样的关键漏洞有时可能会被漏掉,这并不是由于疏忽,而是由于我们每天管理的任务量巨大。然而,必须认识到,令人兴奋的应用程序的安全性是当今软件开发的关键方面。
Log4shell的当前状态
还记得 Log4Shell 吗? 2021 年发现的 Apache Log4j 中的令人讨厌的漏洞可能会让攻击者通过记录特殊字符串在您的服务器上运行代码?攻击者可以使用 LDAP 协议的 JNDI 查找来注入预编译的类文件并执行恶意代码。即使在较新版本的 Java 中,此漏洞也可能因反序列化攻击而导致损坏。这个严重漏洞的攻击复杂性被认为非常低,这使得威胁比平常更高。请查看我们的博客文章,了解问题的完整详情。
超过 20% 的公司仍然容易受到 Log4shell 的攻击。
如今,许多公司的项目之一中仍然存在过时且易受攻击的 Log4j 库版本。在所有扫描其生产代码是否存在漏洞的 Snyk 客户中,21% 的项目仍然容易受到 Log4Shell 的影响。这意味着超过 60k 个项目仍然面临着因 2 年前披露和修复的漏洞而遭到破坏的风险。那是巨大的!知道这些公司已经使用安全工具并正在积极缓解他们遇到的安全问题,因此存在漏洞的 log4j 版本的实际数量将远高于此。这个想法不仅令人恐惧,而且非常令人不安。
Spring4Shell 在野外
另一个臭名昭著的例子是 Spring4Shell,它于 2022 年 3 月被披露。spring-beans 中的漏洞也可能导致恶意远程代码执行。虽然攻击复杂度较低,并且有针对特定案例的利用,但影响不如Log4Shell那么大。查看专门的博客文章了解更多详细信息。
通过在 2022 年 4 月利用新的漏洞利用将此漏洞扩展到 Glassfish,Snyk 团队证明了此漏洞非常重要,除了首次利用 tomcat 之外,还可能在更多情况下被滥用。
与Log4Shell类似,我们发现Spring4Shell在野外仍然适用。大约 35% 的客户在其项目之一中仍然存在该漏洞。尽管 Spring4Shell 漏洞的风险不如 Log4Shell 那么严重,但 Snyk 团队通过识别和开发 Glassfish 的漏洞利用概念验证 (POC) 展示了一系列潜在的漏洞利用。这证明看似较小的危险仍然可能导致重大的安全漏洞。尚未发布漏洞利用程序的事实并不意味着应用程序不会被漏洞破坏!
此外,它表明许多 Spring 应用程序依赖于旧的、过时的框架版本,并且更新和服务现有应用程序被认为不重要。然而,在内心深处,我们知道这是一颗定时炸弹,随时可能爆炸。
给所有维护应用程序的人敲响警钟
让我们保持简单明了。我们都知道,当我们的代码最终顺利运行时,我们会感到自豪,而我们最不想做的事情就是返回并搞乱它,尤其是对于像更新库这样愚蠢的事情。但事情是这样的:这些 Log4Shell 和 Spring4Shell 漏洞不会自行修复。老实说,它们不仅仅是我们可以忽略的小错误。它们是我们应用程序墙上的漏洞。如果您的环境中仍然存在 Log4Shell 或 Spring4Shell 等漏洞,那么您就不必要地容易受到高严重性攻击!
Snyk 可以通过检测和帮助解决应用程序中的安全漏洞来帮助您解决此问题。它以多种方式与开发工作流程集成,例如通过 Git 存储库、命令行界面 (CLI) 或现有的持续集成 (CI) 管道,使开发人员能够在开发周期的早期识别安全风险,避免它们变成更大的问题。注册是免费的,可以立即使用其功能。然而,真正的价值在于发现的漏洞在识别后如何管理和解决。
我们必须在这里承担责任。这不仅仅是找到一个快速补丁或希望一个简单的更新就能解决问题。有时,我们需要进行硬调用来删除或替换易受攻击的库。是的,这可能会让我们放慢一点,这不是我们工作中最令人兴奋的部分,但它至关重要。这是为了确保我们的代码是可靠的,不仅是为了今天,而且是为了长远。
所以,我们不要等待其他人来解决这些问题。借助适当的工具,我们可以及早发现这些漏洞,但我们必须采取行动。我们有责任加强防御、修补这些漏洞并确保我们的应用程序安全无虞。让我们开始吧,不仅仅是作为程序员,而是作为那些支持他们工作的人,确保它尽可能安全。
以上是持续的威胁:为什么像 Logell 和 Springell 这样的重大漏洞仍然很严重的详细内容。更多信息请关注PHP中文网其他相关文章!

javaispopularforcross-platformdesktopapplicationsduetoits“ writeonce,runanywhere”哲学。1)itusesbytbytybytecebytecodethatrunsonanyjvm-platform.2)librarieslikeslikeslikeswingingandjavafxhelpcreatenative-lookingenative-lookinguisis.3)

在Java中编写平台特定代码的原因包括访问特定操作系统功能、与特定硬件交互和优化性能。1)使用JNA或JNI访问Windows注册表;2)通过JNI与Linux特定硬件驱动程序交互;3)通过JNI使用Metal优化macOS上的游戏性能。尽管如此,编写平台特定代码会影响代码的可移植性、增加复杂性、可能带来性能开销和安全风险。

Java将通过云原生应用、多平台部署和跨语言互操作进一步提升平台独立性。1)云原生应用将使用GraalVM和Quarkus提升启动速度。2)Java将扩展到嵌入式设备、移动设备和量子计算机。3)通过GraalVM,Java将与Python、JavaScript等语言无缝集成,增强跨语言互操作性。

Java的强类型系统通过类型安全、统一的类型转换和多态性确保了平台独立性。1)类型安全在编译时进行类型检查,避免运行时错误;2)统一的类型转换规则在所有平台上一致;3)多态性和接口机制使代码在不同平台上行为一致。

JNI会破坏Java的平台独立性。1)JNI需要特定平台的本地库,2)本地代码需在目标平台编译和链接,3)不同版本的操作系统或JVM可能需要不同的本地库版本,4)本地代码可能引入安全漏洞或导致程序崩溃。

新兴技术对Java的平台独立性既有威胁也有增强。1)云计算和容器化技术如Docker增强了Java的平台独立性,但需要优化以适应不同云环境。2)WebAssembly通过GraalVM编译Java代码,扩展了其平台独立性,但需与其他语言竞争性能。

不同JVM实现都能提供平台独立性,但表现略有不同。1.OracleHotSpot和OpenJDKJVM在平台独立性上表现相似,但OpenJDK可能需额外配置。2.IBMJ9JVM在特定操作系统上表现优化。3.GraalVM支持多语言,需额外配置。4.AzulZingJVM需特定平台调整。

平台独立性通过在多种操作系统上运行同一套代码,降低开发成本和缩短开发时间。具体表现为:1.减少开发时间,只需维护一套代码;2.降低维护成本,统一测试流程;3.快速迭代和团队协作,简化部署过程。


热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热门文章

热工具

PhpStorm Mac 版本
最新(2018.2.1 )专业的PHP集成开发工具

记事本++7.3.1
好用且免费的代码编辑器

SublimeText3 Linux新版
SublimeText3 Linux最新版

mPDF
mPDF是一个PHP库,可以从UTF-8编码的HTML生成PDF文件。原作者Ian Back编写mPDF以从他的网站上“即时”输出PDF文件,并处理不同的语言。与原始脚本如HTML2FPDF相比,它的速度较慢,并且在使用Unicode字体时生成的文件较大,但支持CSS样式等,并进行了大量增强。支持几乎所有语言,包括RTL(阿拉伯语和希伯来语)和CJK(中日韩)。支持嵌套的块级元素(如P、DIV),

适用于 Eclipse 的 SAP NetWeaver 服务器适配器
将Eclipse与SAP NetWeaver应用服务器集成。