Log4Shell の脆弱性は依然として組織を悩ませています from securityboulevard.com
security summary
Log4Shell がセキュリティ チームに急いでパッチを当ててからほぼ 1 年が経過しましたが、組織の 10 分の 7 以上 (72%) が依然としてこの脆弱性に対して脆弱です。
組織が Log4Shell を完全に修復したとしても、新しいシステムや資産を環境に追加するたびに、誤って Log4Shell の脆弱性を再導入する可能性があると Huber は言います。
彼によると、すべての組織は、修復状況に関係なく、環境内で Log4j Java ライブラリが存在する場所のインベントリを作成し、Log4Shell の脆弱性についてそれらの資産を評価することで、すぐに改善を行うことができます。
「インベントリを作成することで、修復プロセスが合理化されるだけでなく、セキュリティ チームは、Log4Shell やその他の脆弱性や弱点の再導入を定期的にチェックするための資産のリストを得ることができます」と彼は説明しました。
「Log4J は、オープン ソース ソフトウェアの脆弱性を見つけることが、1 つのアプリケーションだけでなく、多くの場合、今日の大企業の一部で使用されているアプリケーションの大部分に足がかりを提供できることを示しています」と彼は言いました。
Psencik 氏は、オープンソース ソフトウェアで Log4J のような追加のエクスプロイトを発見した責任あるセキュリティ研究者を呼び出したり罰したりするのではなく、セキュリティの専門家は研究を奨励し、これらの共有ライブラリを作成するグループをサポートする必要があると述べました。
コメント