Apache Log4j缺陷:网络安全行业的福岛的时刻

世界各地的组织将会处理这个漏洞的长尾的后果,称为Log4Shell,多年来。

Apache Log4j的关键缺陷的发现软件的福岛的时刻网络安全行业的。

十年前,地震和随后的海啸引发福岛核电站的危机,今天继续困扰该地区。同样,Log4j的早期开发,在此期间,攻击者会在低处的水果公开的漏洞,将随时间而变化的形式更复杂的攻击更敏感的系统较少接触到互联网。和,就像福岛了重大问题与长期流程核电站,Log4j也会如此脆弱,被称为Log4Shell,突出两个关键实践的关注:

• 组织如何捕获和保护他们的大规模搜集的日志数据;和
• 使用开源的代码库的构建块主要的企业应用程序。

Log4j的悖论:日志越多,就会越糟糕

我们发现新应用程序使用Log4j每一分钟以一种方式或另一种方式。它不仅影响您构建的代码,但也在地方的第三方系统。从办公室的你新买的打印机票务系统你刚刚部署可能受此影响的缺陷。一些影响系统可能是前提,其他人可能被托管在云但无论他们在哪里,缺点是可能会产生影响。

给你一个意义上的纯粹的范围:我们在1000年成立看到客户审计系统每秒和识别一个影响系统每秒。

常见问题:cve cve - 2021 - 45046 - 2021 - 4104:关于Log4Shell常见问题和相关的漏洞。

讽刺的缺陷是,它最终可能会使攻击者利用的日志记录实践良好的安全实践的风向标:安全组织越多,你越会记录每一个行动,这就意味着你坐在一个大池的日志数据和被利用的潜力。最成熟的安全组织通常捕获的最大数量的日志数据为了执行有效的事件反应和安全补救。Log4j的核心问题在于,你可以利用它,如果你可以让它日志任意轨迹;我们处理非常不安全数据和图书馆,因为某些原因,对待它,就好像它已消毒。

开源代码库:建筑基础应用不稳固

Apache Log4j缺陷置于强光照耀的风险实践依赖开源代码库构建企业级应用程序。Apache基金会,也给了我们2017年Struts的脆弱性是一个社区组织声称提供价值220亿美元的软件产品免费的公众。营利性组织在世界各地获得基金会的每天工作的好处。然而,作为一个产业,我们没有使它成为一项重点支持组织资金能够促进一个安全的方法。

与数字转换和敏捷软件开发的要求网民每年都在成倍地增长,世界各地的企业依靠开源库作为一个关键元素的能力迅速把应用程序市场。这实际上是一个野生的依赖,西部的代码库将继续离开组织脆弱,直到他们投资所需的时间和资源使他们更安全。我们过去长时间创建一个安全的分类系统的开源代码库。这样一个系统将分配一个安全评级每段代码和为用户提供可见性的图书馆从安全的角度维护。

如果组织将继续使开源软件的一个关键组成部分的定制开发模式,是时候有一组标准和实践来启用一个干净的临界评估每个开源组件的基础设施和能力,确保安全设计是在开发生命周期的每一步。

了解更多

• 参观站得住脚的Log4j解决方案中心://www.yyueer.com/log4j
• 读SRT警报:cve - 2021 - 44228:概念验证关键Apache Log4j远程代码执行漏洞可用(Log4Shell)
• 阅读常见问题:cve cve - 2021 - 44228 - 2021 - 45046, cve - 2021 - 4104:常见问题关于Log4Shell和相关的漏洞
• 读CISO的角度来看:Apache Log4j缺陷使第三方软件在聚光灯下
• 访问我们的用户社区更多地了解如何站得住脚的帮助:https://community.tenable.com/s/