35,000 Von den Log4j-Sicherheitslücken betroffene Java-Pakete
Google sagt das mehr als 35,000 Java-Pakete sind derzeit von den Log4j-Schwachstellen betroffen, „mit weit verbreiteten Folgen in der Softwarebranche.“ Das sind mehr als 8% des Maven Central-Repositorys, welches als das bedeutendste Java-Paket-Repository gilt.
die Sicherheitslücken, die die ursprüngliche Log4Shell enthalten (log4j) Exploit bekannt als CVE-2021-44228 und eine zweite Remotecodeausführung (RCE) Fehler im Log4Shell-Patch, bekannt als CVE-2021-45046, könnte es Bedrohungsakteuren ermöglichen, RCE-Angriffe durchzuführen. Diese Angriffe können auftreten, wenn die anfällige JNDI-Suchfunktion von der Protokollbibliothek log4j . ausgenutzt wird. Das Problem ist, dass die ausnutzbare Funktion in vielen Versionen der Bibliothek standardmäßig aktiviert war, Google erklärt.
Der Log4j-Exploit „hat das Informationssicherheitsökosystem seit seiner Veröffentlichung am 9. Dezember sowohl aufgrund seiner Schwere als auch seiner weitreichenden Auswirkungen in seinen Bann gezogen“.,“ Google bemerkte. Das beliebte Logging-Tool wird von unzähligen Softwarepaketen und Projekten im Softwarebereich eingesetzt. Das Schlimmste daran ist, dass das Patchen des Exploits eine Herausforderung darstellt, da der Benutzer seine Abhängigkeiten und transitiven Abhängigkeiten nicht einsehen kann. Die gesamte Auswirkung des Exploits ist auch schwer zu erfassen und zu bestimmen.
Bisher, Google hat entdeckt 35,863 der verfügbaren Java-Artefakte in Maven Central, die vom anfälligen Log4j-Code abhängen. Jedoch, diese Nummern entsprechen nicht allen Java-Paketen, einschließlich direkt verteilter Binärdateien. Jedoch, „Maven Central ist ein starker Proxy für den Zustand des Ökosystems“.
„Was die Auswirkungen auf das Ökosystem betrifft, 8% ist riesig. Die durchschnittliche Auswirkung von Maven Central-Beratungen auf das Ökosystem beträgt 2%, mit einem Median von weniger als 0,1 %“, fügte Google hinzu..
Die etwas gute Nachricht
Zum Zeitpunkt der Veröffentlichung ihrer Ergebnisse (Dezember 17), Google schätzt, dass fast fünftausend der betroffenen Artefakte repariert wurden, Dies stellt „eine schnelle Reaktion und eine Mammutbemühung sowohl der log4j-Betreuer als auch der breiteren Gemeinschaft von Open-Source-Nutzern dar“.
Jedoch, 30,000 Artefakte sind immer noch betroffen, Viele davon sind von einem anderen Artefakt zum Patchen abhängig, bekannt als transitive Abhängigkeit, und sind wahrscheinlich blockiert.
Auf einem anderen Ton, der CVE-2021-44228-log4j-Exploit wurde kürzlich von einer neuartigen Ransomware-Gruppe missbraucht, bekannt als Konzert. Die US-. Die Cybersecurity and Infrastructure Security Agency war diejenige, die die aktive Ausnutzung des Fehlers offenlegte.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: