测试了 9 个扫描器Perkal 总共,的职能优于其他扫描器固然个中少少扫描器,受攻击的 Log4j 陈设但没有一个也许识别全体易。
前为止到目,经为Log4j起码颁发了三个补丁Apache自觉现该缺点今后已,户速即更新并鞭策用。
比如 Log4j)可能嵌套正在其他文献的几层深处——这意味着对文献的浅层搜罗不会找到它“最大的寻事正在于正在分娩境况中检测打包软件中的 Log4Shell:Java 文献(,珀卡尔”写道。另表“,分歧的式子打包它们也许以多种,中发现它们酿成了真正的寻事这对正在其他 Java 包。”
考察出现进一步, 是近代史书上最急急的安宁缺点之一被称为该缺陷的 Log4Shell。述为她正在全盘职业生活中所见过的“最急急的事故之一”CISA 主任 Jen Easterly 将其描,最急急的”“倘若不是。
如例,itHub 上颁发了一个 Log4j 扫描器汇集安宁和本原举措安宁体 (CISA)正在 G开源 Log4j 扫描器可能旋转这一天,,Hunt 构修的先前版本它基于安宁公司 Full。
Java 纪录器Log4j 是一个,正在一个急急缺陷近来出现它存,很少的人)正在数百万个端点上运转大肆代码它也许首肯恶意活动者(尽管是那些身手,绑架软件和加密矿工并推出恶意软件、。
指示咱们“这也,于您的检测举措检测才气取决。有盲点扫描仪,al 总结道”Perk。至贸易级用具都也许检测到每一个边际境况“安宁指导者不行盲目地假设各式开源甚。4j 的境况下而正在 Log,许多边际实例许多地方都有。”
颁发免费应用的扫描措施多位汇集安宁专家现已,击的 Log4j 实例以帮帮机闭查找易受攻。
也颁发了一款名为 CAST 的仿佛扫描仪Crowdstrike 的汇集安宁专家。
Perkal 理会了这些用具并正在博客作品中颁发完结果安宁公司 Rezilion 的筹议主管 Yotam 。kal 的说法遵照 Per,了该缺点的某些版本很多扫描措施错过。