“Text4Shell”漏洞并不是Log4Shell的续集 媒体

关键要点

本周的新闻中，关于严重的 Apache 漏洞 Text4Shell 的报道引起了安全专业人士的极大关注，他们担心是否会出现类似Log4Shell的事件，但事实证明这些担忧夸大了。

根据Rapid7和Checkmarx的博文，研究人员明确指出，尽管CVE202242889应被视为严重漏洞，但它并不在 Log4Shell 的同一水平上。与 Apache 漏洞几乎可在每个应用中被利用不同，该缺陷必须通过特定方式使用 Apache Commons Text 才能暴露攻击面。

“尽管与 [Log4Shell] 有许多相似之处我们必须指出，漏洞包及其功能在野外的使用并不广泛，” Checkmarx 的研究人员 Yaniv Nizry 和 Miguel Correira 写道。“另一个主要区别是实施方式。虽然 Log4j 的基本用例在 Log4Shell 中都存在漏洞，但此漏洞需要特定的实现模式，可能不会影响所有用户。”

一些报道甚至宣称这“就像 Log4Shell 又来了。” 诚然，虽然Twitter上对此的讨论良莠不齐，但足够多的人在提供背景知识，避免了过度恐慌。

Bugcrowd 的创始人兼首席技术官 Casey Ellis 表示，他不时使用一个与严重漏洞相关的短语：远程压力执行Remote Press Execution，指媒体和社交媒体对漏洞的反应与漏洞本身的影响完全无关。

轻蜂加速器免费下载

Ellis 表示：“将 Apache 漏洞称为 ‘4Shell’ 可以通过它在某些方面的相似性进行解释：它是一个库，是开源的，且是一个输入解析问题导致的远程代码执行。然而，考虑到大多数人对 Log4Shell 的记忆是它造成的极大干扰和困难，我认为说它的使用是过早的。”

因此，面对媒体对此类故事的热衷，安全团队如何才能抑制恐慌，理清每个具体案例的实际情况？

Inversion6 的首席信息安全官 Craig Burland 表示：“经验丰富的网络安全团队不会因为一个昵称而惊慌或改变他们的流程。他们会根据漏洞的技术特性进行评估，并相应作出反应。好的网络安全领导者将帮助人们超越名称，借此机会教育大家关于网络风险的知识。”

Burland 还补充道，试图立法漏洞的昵称是没有意义的。尽管 “4Shell” 可能会短暂流行，吸引更多点击和转发，但不太可能会像“gate”那样，跨越几代人，涉及从政治到体育的各种事件例如 Watergate 到 Deflategate，他说：“从积极的方面来看，如果“4Shell” 这个后缀的广泛使用能在《福布斯》或《华尔街日报》等知名出版物中引发商业领袖的更多关注，那它就成为了一个很好的用户意识工具。”

Tanium 的战略整合高级总监 Geoffrey Fisher 表示，漏洞名称不过是名称和品牌。Fisher 认为，对于任何漏洞，组织需要理解其几个方面，包括严重性、可