谷歌警告称,超过35000个Java包受 Log4j 漏洞影响

安全
谷歌扫描Maven Central Java软件包库,发现35863个软件包使用的Log4j库版本易受Log4Shell漏洞攻击。

据Securityaffairs网站消息,谷歌开源团队扫描了Maven Central Java软件包库,发现35863个软件包使用的Apache Log4j库版本易受Log4Shell漏洞和CVE-2021-45046 RCE攻击。

[[441614]]

据了解,受影响的Java包数量占Maven中央存储库(最重要的Java包存储库)的8%.。谷歌发布报告表示,介于log4j漏洞近来对软件行业产生了广泛影响,8%的比例对整个行业生态的影响依然巨大。

谷歌专家使用了Open Source Insights(一个用于确定开源依赖项的项目)来评估Maven 中央存储库中所有的所有软件版本。专家指出,受影响的直接依赖项软件包大约有7000个,大多数受影响的为间接依赖项。

漏洞在依赖关系链中的位置越深,修复它需要的步骤就越多。下图显示了受影响的log4j包(核心或api)首次出现在消费者依赖关系图中的深度柱状图,对于超过80%的软件包来说,漏洞的深度超过了一级,大多数受影响的程度为五级(有些甚至多达九级),对这些软件包进行修复,需从最深的依赖关系开始。

自Log4j漏洞披露以来,所有受其影响的软件包中已有13%被修复,那要在整个软件生态系统中修复此漏洞需要多长时间?专家认为,尽管最近几天行业内急于修复log4j,但整个过程可能需要数年时间。

谷歌表示,他们鼓励开源社区继续加强这些软件包的安全性,启用自动依赖更新并添加安全缓解措施。

参考来源:https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-12-14 23:44:26

漏洞Log4j项目

2021-12-24 09:56:33

Log4j漏洞英伟达

2022-01-06 09:52:39

Log4j漏洞攻击

2021-12-23 11:03:25

Log4j 漏洞漏洞

2021-12-21 10:03:24

Log4j漏洞网络攻击漏洞

2022-03-25 13:42:15

Log4j漏洞网络安全

2021-12-15 18:07:38

Log4j漏洞网络攻击

2021-12-21 14:25:01

Log4j2漏洞网络

2021-12-23 09:47:36

Log4jRCE漏洞DoS漏洞

2022-03-30 11:29:53

漏洞补丁Spring

2023-12-11 15:26:42

2021-12-16 10:43:04

黑客网络攻击漏洞

2021-12-13 01:49:34

漏洞Log4j代码

2022-01-24 10:02:53

漏洞微软网络攻击

2021-12-24 09:52:31

Traefik Log4J 漏洞

2021-12-11 19:04:38

漏洞

2023-11-10 10:08:23

2022-01-02 07:07:55

CISAApache Log4漏洞

2022-01-06 14:39:15

Log4j漏洞网络攻击网络安全

2022-02-15 17:51:38

Log4j漏洞网络安全
点赞
收藏

51CTO技术栈公众号