企业如果想要因应Log4j漏洞的危机,首先要先清查自己到底有多少系统使用了有漏洞的Log4j版本,而根据国内一家厂商对用户进行的调查,许多产业都无法幸免,但其中,金融业所要处理的Log4j漏洞管理作业可能最繁重,因为他们的金融业用户中,使用有漏洞Log4j版本超过10个的公司,竟高达50%
关于震撼整个IT界的Log4j漏洞,在12月24日,我们根据开放源代码软件资安业者Sonatype的数据,指出是全球下载有漏洞Log4j版本比例最高的地区,一度高达85.06%,截至12月30日为止,仍是下载Log4j 2.15以前版本比例最高的地区,但已降为79.44%,显示有降温的现象。
为了从其他角度了解企业相关问题的严重性,我们洽询另一家开放源代码软件资安厂商WhiteSource代理商叡扬信息,是否有相关的情报可公开让大家参考。 而由于该公司也代理多款代码安全检测软件,本身也兼具独立软件开发商等多重身份,虽然无法全然代表整个软体产业与资安产品所面临的状况,但他们如果已经能归纳出一些现象,也显示相关问题已达到非常严重的地步,因为这只是冰山一角。
这次Log4j漏洞影响的版本涵盖1.x与2.x,2001年1月8日发布的1.0版,若追溯到最初于1999年开始发展这个项目,至今已超过20年,后续的1.2版则从2002年开始,一路发展到2012年发布的1.2.17版,而2.0版则是2014年7月释出。
关于每个公司或单位使用这些有漏洞版本的数量,叡扬针对多个产业、约30家用户进行调查。 整体而言,因为Java是各大企业必用的重要程式语言之一,因此,叡扬的用户绝大部分都使用了Log4J,金融业、科技与制造业、电信业都是100%,政府机构与财团法人则是95%,而没有使用的用户,主要是因为他们采用的程式语言是. NET或非Java的语言。
根据他们在12月10日到17日的初步统计,使用Log4J 1.2.x 版本的用户超过97%,这些用户中,有超过六成是Log4J 1.x and 2.x均使用。
以金融业(包括银行、证券、寿险等)而言,有多达50%的公司使用了10个以上有漏洞版本,使用1到3个有漏洞版本为24%,使用4到6个有漏洞版本与使用7到9个有漏洞版本的比例,均为13%。
而在政府与法人,以及科技与制造等产业,均有86%的公司使用1到3个有漏洞版本,而使用7到9个有漏洞版本的公司比例为14%。
微信扫一扫
相关推荐
-
《动物森友会》新手攻略! 12 技巧快速赚钱、收集铁矿石
《集合啦! 动物森友会》你玩了吗? 本篇特别整理新手、初学者入门必学的 12 个招式,帮你简单升级,玩得更轻松、快乐 >> 掀起热议的任天堂(Nintendo)Swit…
-
dnf缔造怎么操作(dnf100级缔造还值得培养吗)
这个是我开90版本在网上看到一个攻略决定尝试的,发现还不错。先附上我自己站街的面板图先 3500多的独立(目前还不是极限)依我个人的理想装备大概是这样子的。 在这种高独立 自带百分…
-
SONY Xperia 1III终于推送Android 12版本:长截图姗姗来迟
作为SONY旗下的旗舰品牌,Xperia 1III和5III却迟迟没有推送Android 12系统。 今天,索尼-Xperia官方发布公告,正式宣布这两款手机将迎来Android …
-
沙盒模拟《Holo Earth》开放压力测试,玩家招募中
去年底时,Vtuber 艺人团体 hololive 母公司 Cover,就公开了虚拟宇宙计划「hololive alternative」中的《Holo Earth》實機画面,由自家…
-
SpaceX公布移居火星宣传片!Elon Musk:希望能帮人类建造“火星城”
今日,SpaceX太空探索公司召开了一场发布会。在发布会上,Elon Musk介绍了星际飞船的一些最新进展,并公布了最新宣传片,模拟了星际飞船飞往火星的过程,画面震撼许多人。 根据…
-
《宝可梦朱紫》君主蛇配招推荐&努力值分配&太晶选择
今天跟大家介绍《宝可梦朱紫》君主蛇如何配招,并一并分享对战中需要注意的细节。 强攻型 平衡型 坦克型 挑衅 替身 大蛇瞪眼 大蛇瞪眼 大蛇瞪眼 光合作用 太晶爆发 光合作用 寄生种…
