Apache 新漏洞 “Text4Shell” 对安全行业的影响

关键要点

• 新发现的 Apache 漏洞被称为 “Text4Shell”，引发了与 Log4Shell 相似的担忧，但专家认为实际影响有限。
• 尽管 CVE-2022-42889 被认定为严重漏洞，但其影响范围和利用方式与 Log4Shell 不同。
• 安全团队应保持镇定，深入分析漏洞的技术细节，而不是被媒体标题误导。

本周的新闻中，关于严重的 Apache 漏洞 “Text4Shell”

的报道引起了安全专业人士的极大关注，他们担心是否会出现类似的事件，但事实证明这些担忧夸大了。

根据和的博文，研究人员明确指出，尽管应被视为严重漏洞，但它并不在 Log4Shell 的同一水平上。与 Apache漏洞几乎可在每个应用中被利用不同，该缺陷必须通过特定方式使用 Apache Commons Text 才能暴露攻击面。

“尽管与 [Log4Shell] 有许多相似之处…我们必须指出，漏洞包及其功能在野外的使用并不广泛，” Checkmarx 的研究人员 Yaniv
Nizry 和 Miguel Correira 写道。“另一个主要区别是实施方式。虽然 Log4j 的基本用例在 Log4Shell
中都存在漏洞，但此漏洞需要特定的实现模式，可能不会影响所有用户。”

一些报道甚至宣称这“”
诚然，虽然上对此的讨论良莠不齐，但足够多的人在提供背景知识，避免了过度恐慌。

Bugcrowd 的创始人兼首席技术官 Casey Ellis 表示，他不时使用一个与严重漏洞相关的短语：远程压力执行（Remote PressExecution），指媒体和社交媒体对漏洞的反应与漏洞本身的影响完全无关。

Ellis 表示：“将 Apache 漏洞称为 ‘4Shell’
可以通过它在某些方面的相似性进行解释：它是一个库，是开源的，且是一个输入解析问题导致的远程代码执行。然而，考虑到大多数人对 Log4Shell的记忆是它造成的极大干扰和困难，我认为说它的使用是过早的。”

因此，面对媒体对此类故事的热衷，安全团队如何才能抑制恐慌，理清每个具体案例的实际情况？

Inversion6 的首席信息安全官 Craig Burland表示：“经验丰富的网络安全团队不会因为一个昵称而惊慌或改变他们的流程。他们会根据漏洞的技术特性进行评估，并相应作出反应。好的网络安全领导者将帮助人们超越名称，借此机会教育大家关于网络风险的知识。”

Burland 还补充道，试图立法漏洞的昵称是没有意义的。尽管 “4Shell”
可能会短暂流行，吸引更多点击和转发，但不太可能会像“gate”那样，跨越几代人，涉及从政治到体育的各种事件（例如 Watergate 到
Deflategate），他说：“从积极的方面来看，如果“4Shell”
这个后缀的广泛使用能在《福布斯》或《华尔街日报》等知名出版物中引发商业领袖的更多关注，那它就成为了一个很好的用户意识工具。”

Tanium 的战略整合高级总监 Geoffrey Fisher 表示，漏洞名称不过是名称和品牌。Fisher认为，对于任何漏洞，组织需要理解其几个方面，包括严重性、可