IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> Java知识库 -> 火线安全:Log4j2 史诗级漏洞波及全球6万+开源软件 -> 正文阅读

[Java知识库]火线安全:Log4j2 史诗级漏洞波及全球6万+开源软件

在这里插入图片描述

Apache Log4j2 是一个基于 Java 的日志记录工具。该日志框架被大量用于业务系统开发,用来记录日志信息。

近日,Log4j2 被爆出现史诗级利用成本极低危害极大的漏洞,黑客可通过发送一条指令即可控制目标设备。Log4j2 作为基础日志组件被大量基础服务在底层使用,据统计,该漏洞影响6万+流行开源软件,影响70%以上的企业线上业务系统!软件在官方发布漏洞修复补丁后依旧被黑客多次绕过,几乎所有的互联网大厂都在通宵加急处理漏洞,避免造成黑客攻击事件,没想到道高一尺魔高一丈,刚修复完又马上被黑客绕过😭。

近些年,重大威胁漏洞频现:

  • 2014年,心脏滴血漏洞让世界上 2/3的 网站心脏滴血
  • 2017年,永恒之蓝漏洞让数百万台主机面临被勒索病毒攻击的风险
  • 2021年,Log4j2 的漏洞再一次影响了互联网上70%以上的企业系统

毫无疑问,这些重大漏洞都使得互联网企业及其应用的用户绷紧了弦。

01 对开源软件的致命打击

火线安全团队对 Log4j2 及受影响的开源组件进行全面分析后,对该漏洞的危害性感到震惊。Java ORM 中的 MyBatis、Hibernate 等组件均受到影响,而 Java 应用中,对数据库的操作基本上都是通过 ORM 进行的,因此只要是涉及到数据库操作的应用,都存在被攻击的风险,危害十分重大。

经过对 Maven 官方仓库的分析,我们发现像 Java ORM 一样的基础组件中,存在被攻击风险的高达十几万个,影响几百万个组件的版本。由于篇幅原因,本文将通过不同的维度对存在风险的组件进行展示。

目前我们仍在继续对数据进行整理分析,据不完全统计,在 Github 上,共有60644个开源项目发布的321094软件包存在风险,影响众多主流开源基金会的著名项目。

在目前数据中,Star 数量 Top 10 为:
在这里插入图片描述

Apache 基金会下的开源项目中,受到 Log4j2 漏洞影响的 Top 10 如下:
在这里插入图片描述

?
Java 开发框架中,受到 Log4j2 的影响的 Top 10 如下:
在这里插入图片描述

?以上数据均来源于火线安全提供的 Apache Log4j2 漏洞影响面查询系统:https://log4j2.huoxian.cn。

02 技术实现

Log4j2 通常作为 Maven/Gradle 项目的组件依赖,被引入项目中,用于打印日志。在本次排查过程中,我们分析了 Maven 官方仓库的全部数据,根据直接引用、间接引用等多种关系,对数据进行关联分析,最终梳理出全量的受 Log4j2 影响的组件数据;

然后将受影响的组件与 Github 中的开源项目进行关联分析,找到每个组件对应的开源项目及项目的信息。

03 技术支持

鉴于修复漏洞的紧迫性,火线安全将为所有企业提供免费且强大的技术支持。可通过:https://log4j2.huoxian.cn进行在线排查或添加火线小助手的微信,获取火线安全免费的绝对防御解决方案,火线安全专家全程技术支持。

?

关于火线安全

火线安全是基于社区的云安全公司,主要运营洞态 IAST 和火线安全平台。通过自主研发的自动化测试工具和海量的白帽安全专家,助力企业解决应用生命全周期的安全风险。“洞态”是全球首个开源 IAST 产品,专注于 DevSecOps, 帮助企业发现并解决应用上线前的安全风险。“火线安全平台”是全球首个社区原生的安全众测平台,注册有近万名白帽安全专家,为企业提供可信的安全众测服务。火线的安全产品与理念赢得了来自全球著名技术领袖陆奇博士、经纬中国、五源资本的投资,代表客户包括字节跳动、美团、百度、中国电信、中国银行、中石化等多家互联网大厂与国企。

火线安全平台官网:huoxian.cn

洞态官网:dongtai.io

  Java知识库 最新文章
计算距离春节还有多长时间
系统开发系列 之WebService(spring框架+ma
springBoot+Cache(自定义有效时间配置)
SpringBoot整合mybatis实现增删改查、分页查
spring教程
SpringBoot+Vue实现美食交流网站的设计与实
虚拟机内存结构以及虚拟机中销毁和新建对象
SpringMVC---原理
小李同学: Java如何按多个字段分组
打印票据--java
上一篇文章      下一篇文章      查看所有文章
加:2021-12-13 12:40:04  更:2021-12-13 12:42:28 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/24 5:45:09-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码