作為開發人員,我們不斷地應對功能、修復和截止日期。然而,令人驚訝的是,一個潛在的問題被忽略了:在許多專案中繼續使用易受攻擊的 Log4j 和 Spring Framework 版本。儘管 Log4Shell 和 Spring4Shell 漏洞備受矚目,但數量驚人的應用程式仍在這些定時炸彈上運行。這不僅僅是一個小疏忽,而是一個重大風險。我們本質上是建設者,但建設的一部分是確保我們的結構安全。
身為開發人員,我們不斷平衡推出新功能和維護現有專案和功能。這是一種平衡行為,需要我們的時間和充分的認知頻寬。追蹤每個專案的依賴關係,同時確保它們是最新的,感覺就像一場艱苦的戰鬥,特別是當面臨交付新功能的壓力時。在這種雜耍行為中,像 Log4Shell 和 Spring4Shell 這樣的關鍵漏洞有時可能會被漏掉,這並不是因為疏忽,而是因為我們每天管理的任務量龐大。然而,必須認識到,令人興奮的應用程式的安全性是當今軟體開發的關鍵方面。
還記得 Log4Shell 嗎? 2021 年在 Apache Log4j 中發現的那個令人討厭的漏洞可以讓攻擊者透過記錄特殊字串在您的伺服器上運行程式碼?攻擊者可以使用 LDAP 協定的 JNDI 查找來注入預先編譯的類別檔案並執行惡意程式碼。即使在較新版本的 Java 中,此漏洞也可能因反序列化攻擊而導致損壞。這個嚴重漏洞的攻擊複雜性被認為非常低,這使得威脅比平常更高。請查看我們的部落格文章,以了解問題的完整詳情。
如今,許多公司的專案之一中仍然存在過時且易受攻擊的 Log4j 庫版本。在所有掃描其生產程式碼是否有漏洞的 Snyk 客戶中,21%的專案仍容易受到 Log4Shell 的影響。這意味著超過60k個專案仍面臨著因 2 年前披露和修復的漏洞而遭到破壞的風險。那是巨大的!知道這些公司已經使用安全工具並正在積極緩解他們遇到的安全問題,因此漏洞的 log4j 版本的實際數量將遠高於此。這個想法不僅令人恐懼,而且非常令人不安。
另一個臭名昭著的例子是 Spring4Shell,它於 2022 年 3 月被披露。 spring-beans 中的漏洞也可能導致惡意遠端執行程式碼。雖然攻擊複雜度較低,且有針對特定案例的利用,但影響不如Log4Shell那麼大。查看專門的部落格文章以了解更多詳細資訊。
透過在 2022 年 4 月利用新的漏洞利用將此漏洞擴展到 Glassfish,Snyk 團隊證明了此漏洞非常重要,除了首次利用 tomcat 之外,還可能在更多情況下被濫用。
與Log4Shell類似,我們發現Spring4Shell在野外仍然適用。大約35%的客戶在其專案之一中仍然存在該漏洞。儘管 Spring4Shell 漏洞的風險不如 Log4Shell 那麼嚴重,但 Snyk 團隊透過識別和開發 Glassfish 的漏洞概念驗證 (POC) 展示了一系列潛在的漏洞利用。這證明看似較小的危險仍然可能導致重大的安全漏洞。尚未發布漏洞利用程式的事實並不意味著應用程式不會被漏洞破壞!
此外,它表明許多 Spring 應用程式依賴舊的、過時的框架版本,並且更新和服務現有應用程式被認為不重要。然而,在內心深處,我們知道這是一顆不定時炸彈,隨時可能爆炸。
讓我們保持簡單明了。我們都知道,當我們的程式碼最終順利運行時,我們會感到自豪,而我們最不想做的事情就是返回並搞亂它,尤其是對於像更新庫這樣愚蠢的事情。但事情是這樣的:這些 Log4Shell 和 Spring4Shell 漏洞不會自行修復。老實說,它們不僅僅是我們可以忽略的小錯誤。它們是我們應用程式牆上的漏洞。如果您的環境中仍然存在 Log4Shell 或 Spring4Shell 等漏洞,那麼您就不必要地容易受到高嚴重性攻擊!
Snyk 可以透過偵測並協助解決應用程式中的安全漏洞來幫助您解決此問題。它以多種方式與開發工作流程集成,例如透過Git 儲存庫、命令列介面(CLI) 或現有的持續集成(CI) 管道,使開發人員能夠在開發週期的早期識別安全風險,避免它們改變成更大的問題。註冊是免費的,可以立即使用其功能。然而,真正的價值在於發現的漏洞在識別後如何管理和解決。
我們必須在這裡承擔責任。這不僅僅是找到一個快速補丁或希望一個簡單的更新來解決問題。有時,我們需要進行硬調用來刪除或替換易受攻擊的函式庫。是的,這可能會讓我們放慢一點,這不是我們工作中最令人興奮的部分,但它至關重要。這是為了確保我們的程式碼是可靠的,不僅是為了今天,而且是為了長遠。
所以,我們不要等待其他人來解決這些問題。借助適當的工具,我們可以及早發現這些漏洞,但我們必須採取行動。我們有責任加強防禦、修補這些漏洞並確保我們的應用程式安全無虞。讓我們開始吧,不僅僅是作為程式設計師,而是作為那些支持他們工作的人,確保它盡可能安全。
以上是持續的威脅:為什麼像 Logell 和 Springell 這樣的重大漏洞仍然很嚴重的詳細內容。更多資訊請關注PHP中文網其他相關文章!