35,000 Packages Java impactés par les vulnérabilités Log4j
Google dit que plus de 35,000 Les packages Java sont actuellement impactés par les vulnérabilités Log4j, "avec des retombées généralisées dans l'industrie du logiciel." Cela équivaut à plus de 8% du référentiel Maven Central, qui est considéré comme le référentiel de packages Java le plus important.
les vulnérabilités, qui incluent le Log4Shell d'origine (log4j) exploit connu sous le nom de CVE-2021-44228 et une deuxième exécution de code à distance (RCE) faille dans le correctif Log4Shell connu sous le nom de CVE-2021-45046, pourrait permettre aux acteurs de la menace d'effectuer des attaques RCE. Ces attaques peuvent se produire si la fonctionnalité de recherche JNDI vulnérable est exploitée par la bibliothèque de journalisation log4j. Le problème est que la fonctionnalité exploitable était activée par défaut dans de nombreuses versions de la bibliothèque, Google a expliqué.
L'exploit Log4j « a captivé l'écosystème de la sécurité de l'information depuis sa divulgation le 9 décembre en raison à la fois de sa gravité et de son impact généralisé.," Google a noté. L'outil de journalisation populaire est utilisé par d'innombrables progiciels et projets dans le domaine du logiciel. Le pire est que la correction de l'exploit est difficile en raison du manque de visibilité de l'utilisateur sur ses dépendances et ses dépendances transitives.. L'impact global de l'exploit est également difficile à captiver et à déterminer.
Jusqu'ici, Google a découvert 35,863 des artefacts Java disponibles dans Maven Central qui dépendent du code Log4j vulnérable. Cependant, ces numéros ne correspondent pas à tous les packages Java, y compris les binaires directement distribués. Cependant, « Maven Central est un puissant indicateur de l'état de l'écosystème ».
"En ce qui concerne l'impact sur l'écosystème, 8% est énorme. L'impact moyen sur l'écosystème des avis affectant Maven Central est 2%, avec une médiane inférieure à 0,1% », a ajouté Google.
La bonne nouvelle un peu
Au moment de publier leurs conclusions (Décembre 17), Google a estimé que près de cinq mille des artefacts concernés ont été réparés, représentant « une réponse rapide et un effort gigantesque à la fois de la part des responsables de log4j et de la communauté plus large des consommateurs open source ».
Cependant, 30,000 les artefacts sont toujours affectés, dont beaucoup dépendent d'un autre artefact à corriger, connu sous le nom de dépendance transitive, et sont probablement bloqués.
Sur une différente note, l'exploit CVE-2021-44228 log4j a été récemment abusé par un nouveau groupe de ransomware, connu sous le nom de Concert. Les Etats Unis. La Cybersecurity and Infrastructure Security Agency a été celle qui a divulgué l'exploitation active de la faille.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: