Lỗ hổng Log4Shell của Log4j: Một

[ad_1]

Cài Win online

Apache đã phải tranh giành vào đầu tháng 12 năm 2021 để sẵn sàng phát hành các bản vá cho Log4Shell khi nó công khai tình hình vào ngày 9 tháng 12 năm ngoái. Kết quả là, các nhà nghiên cứu đã nhanh chóng tìm ra các trường hợp khó khăn và cách giải quyết cho các bản vá, và Apache buộc phải phát hành nhiều lần lặp lại, điều này làm tăng thêm sự nhầm lẫn.

Jonathan Leitschuh, một nhà nghiên cứu bảo mật nguồn mở cho biết: “Thứ này ở khắp mọi nơi, thực sự là ở mọi nơi. “Những kẻ tấn công đã nhảy vào nó, cộng đồng an ninh đã nhảy vào nó, các trọng tải bay khắp nơi.”

Tuy nhiên, các nhà nghiên cứu nói rằng phản ứng tổng thể của Apache là vững chắc. Nalley cho biết thêm rằng Apache đã thực hiện các thay đổi và cải tiến để phản ứng với câu chuyện Log4Shell và thuê nhân viên tận tâm để mở rộng hỗ trợ bảo mật mà nó có thể cung cấp cho các dự án nguồn mở để bắt lỗi trước khi chúng gửi mã và ứng phó với các sự cố khi cần thiết.

Nalley nói: “Trong một khoảng thời gian ngắn, hai tuần, chúng tôi đã sửa xong, điều đó thật tuyệt. “Ở một khía cạnh nào đó, đây không phải là một tình huống mới đối với chúng tôi và tôi muốn nói rằng chúng tôi đã xử lý nó một cách hoàn hảo. Nhưng thực tế là, ngay cả tại Quỹ phần mềm Apache, điều này đã làm nổi bật trách nhiệm của chúng tôi đối với những người sử dụng phần mềm của chúng tôi.”

Trong tương lai, khía cạnh đáng lo ngại hơn của tình huống là, thậm chí một năm sau, khoảng một phần tư hoặc nhiều hơn số lượt tải xuống Log4j từ kho lưu trữ Apache Maven Central và các máy chủ lưu trữ khác vẫn chứa đầy các phiên bản Log4j dễ bị tấn công. Nói cách khác, các nhà phát triển phần mềm vẫn đang tích cực duy trì hệ thống chạy các phiên bản dễ bị tấn công của tiện ích hoặc thậm chí xây dựng phần mềm mới dễ bị tấn công.

Brian Fox, đồng sáng lập và giám đốc công nghệ của công ty chuỗi cung ứng phần mềm Sonatype, công ty vận hành Maven, cho biết: “Thực tế là phần lớn thời gian khi mọi người chọn một thành phần phần mềm mã nguồn mở dễ bị tổn thương, đã có sẵn bản sửa lỗi. Central và cũng là nhà cung cấp kho lưu trữ Apache của bên thứ ba. “Tôi đã làm việc trong một thời gian dài và tôi cảm thấy mệt mỏi, nhưng điều đó thực sự gây sốc. Và lời giải thích duy nhất là mọi người thực sự không hiểu những gì bên trong phần mềm của họ .”

Fox nói rằng sau cuộc tranh giành ban đầu để giải quyết Log4Shell, các lượt tải xuống phiên bản trong Maven Central và các kho lưu trữ khác đã đạt đến mức cao nhất trong đó khoảng 60% lượt tải xuống là các phiên bản đã vá lỗi và 40% vẫn là các phiên bản dễ bị tấn công. Trong khoảng ba tháng qua, Fox và Apache’s Nalley cho biết lần đầu tiên họ thấy các con số giảm xuống khoảng 75/25%. Tuy nhiên, như Fox đã nói, “Sau một năm, một phần tư số lượt tải xuống vẫn còn khá tệ.”

Ông nói: “Một số người cảm thấy Log4j là một sự đánh thức lớn đối với ngành công nghiệp, một sự thức tỉnh và hoang mang tập thể. “Và nó đã giúp chúng tôi thực sự mở rộng thông điệp về bảo mật chuỗi cung ứng phần mềm, bởi vì mọi người không còn phủ nhận nữa. Điều mà tất cả chúng ta đang nói đến bây giờ là có thật’ tất cả chúng ta đang sống với nó. Nhưng chỉ riêng áp lực ngang hàng của Log4j đã buộc mọi người phải nâng cấp, vì vậy nếu chúng tôi không thể nâng cấp cái này lên 100%, thì còn tất cả những cái khác thì sao?”

Đối với các nhà nghiên cứu bảo mật, câu hỏi làm thế nào để giải quyết phần đuôi dài của lỗ hổng bảo mật luôn hiện hữu. Và vấn đề không chỉ áp dụng cho phần mềm mã nguồn mở, mà cả các hệ thống độc quyền. Chỉ cần nghĩ xem đã mất bao nhiêu năm để chuyển 10% người dùng Windows cuối cùng ra khỏi XP.

“Với những tình huống xấu nhất này—các sự kiện thiên nga đen trong nguồn mở—bạn biết rằng chúng sẽ tiếp tục xảy ra, bởi vì cộng đồng đã phản ứng tốt hơn rất nhiều, nhưng tốc độ phát triển của nguồn mở thậm chí còn nhanh hơn,” Lorenc của ChainGuard nói. “Vì vậy, chúng ta phải tìm ra sự cân bằng giữa phòng ngừa và giảm thiểu, đồng thời tiếp tục nỗ lực giảm tần suất càng nhiều càng tốt. Nó giống như Gia đinh Simpsons meme khi Bart nói, ‘Đây là ngày tồi tệ nhất trong cuộc đời tôi.’ Và Homer nói không, ‘Ngày tồi tệ nhất trong cuộc đời bạn cho đến nay.’”

cài đặt phần mềm online
[ad_2]