35,000 Log4jの脆弱性の影響を受けるJavaパッケージ
グーグルはそれ以上 35,000 Javaパッケージは現在、Log4jの脆弱性の影響を受けています, 「ソフトウェア業界全体に広範な放射性降下物があります。」これは以上になります 8% Mavenセントラルリポジトリの, これは最も重要なJavaパッケージリポジトリと見なされます.
脆弱性, オリジナルのLog4Shellが含まれています (Log4j) CVE-2021-44228として知られるエクスプロイトと2番目のリモートコード実行 (RCE) CVE-2021-45046として知られるLog4Shellパッチの欠陥, 脅威アクターがRCE攻撃を実行できるようにする可能性があります. これらの攻撃は、脆弱なJNDIルックアップ機能がロギングライブラリlog4jによって悪用された場合に発生する可能性があります. 問題は、ライブラリの多くのバージョンで悪用可能な機能がデフォルトで有効になっていることです。, グーグルは説明した.
Log4jエクスプロイトは、「その重大性と広範な影響の両方のために、12月9日の開示以来、情報セキュリティエコシステムを魅了してきました。,」グーグルは指摘した. 人気のあるロギングツールは、ソフトウェア分野の無数のソフトウェアパッケージやプロジェクトで利用されています. 最悪の部分は、ユーザーが依存関係と推移的な依存関係を可視化できないため、エクスプロイトにパッチを適用することが難しいことです。. エクスプロイトの全体的な影響も、魅了して判断するのは困難です.
ここのところ, Googleが発見した 35,863 脆弱なLog4jコードに依存するMavenCentralで利用可能なJavaアーティファクトの. でも, これらの番号は、すべてのJavaパッケージに対応しているわけではありません, 直接配布されたバイナリを含む. でも, 「MavenCentralは、エコシステムの状態の強力なプロキシです」.
「生態系への影響に関する限り, 8% 巨大です. MavenCentralに影響を与えるアドバイザリの平均的な生態系への影響は 2%, 中央値は0.1%未満です」とGoogleは付け加えました.
やや良いニュース
調査結果の公開時 (12月 17), Googleは、影響を受けたアーティファクトの約5000が修正されたと推定しました, 「log4jメンテナとオープンソース消費者のより広いコミュニティの両方による迅速な対応と多大な努力」を表しています。
でも, 30,000 アーティファクトは引き続き影響を受けます, それらの多くは、パッチを適用するために別のアーティファクトに依存しています, 推移的な依存関係として知られています, おそらくブロックされています.
別のメモで, CVE-2021-44228log4jエクスプロイトは最近 新しいランサムウェアグループによる悪用, コンサリとして知られています. アメリカ. サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーは、欠陥の積極的な悪用を開示したものでした.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: