Casa > cibernético Notícias > 35,000 Pacotes Java afetados pela exploração Log4j, Google diz
CYBER NEWS

35,000 Pacotes Java afetados pela exploração Log4j, Google diz

35,000 Pacotes Java afetados pela exploração Log4j, Google diz

35,000 Pacotes Java afetados pelas vulnerabilidades Log4j

O Google diz que mais do que 35,000 Os pacotes Java são atualmente afetados pelas vulnerabilidades Log4j, “Com repercussões generalizadas em toda a indústria de software.” Isso equivale a mais de 8% do repositório Maven Central, que é considerado o repositório de pacotes Java mais significativo.




as vulnerabilidades, que incluem o Log4Shell original (log4j) exploração conhecida como CVE-2021-44228 e uma segunda execução remota de código (RCE) falha no patch Log4Shell conhecido como CVE-2021-45046, pode permitir que os agentes da ameaça executem ataques RCE. Esses ataques podem acontecer se o recurso de pesquisas JNDI vulnerável for explorado pela biblioteca de registro log4j. O problema é que o recurso explorável foi habilitado por padrão em muitas versões da biblioteca, Google explicou.

O exploit Log4j “cativou o ecossistema de segurança da informação desde sua divulgação em 9 de dezembro por causa de sua gravidade e impacto generalizado,”Google notou. A popular ferramenta de perfilagem é utilizada por inúmeros pacotes de software e projetos na área de software. A pior parte é que corrigir a exploração é um desafio devido à falta de visibilidade do usuário em suas dependências e dependências transitivas. Todo o impacto da exploração também é difícil de cativar e determinar.

Tão longe, O Google descobriu 35,863 dos artefatos Java disponíveis no Maven Central que dependem do código Log4j vulnerável. Contudo, esses números não correspondem a todos os pacotes Java, incluindo binários distribuídos diretamente. Contudo, “Maven Central é um forte proxy para o estado do ecossistema”.

“No que diz respeito ao impacto do ecossistema, 8% é enorme. O impacto médio no ecossistema de alertas que afetam o Maven Central é 2%, com a mediana inferior a 0,1% ”, acrescentou o Google.

As notícias um tanto boas

No momento de publicar suas descobertas (dezembro 17), O Google estimou que quase cinco mil dos artefatos afetados foram consertados, representando “uma resposta rápida e um esforço gigantesco tanto pelos mantenedores do log4j quanto pela comunidade mais ampla de consumidores de código aberto”.

Contudo, 30,000 artefatos ainda são afetados, muitos dos quais são dependentes de outro artefato para corrigir, conhecido como dependência transitiva, e provavelmente estão bloqueados.




Em uma nota diferente, o exploit CVE-2021-44228 log4j foi recentemente abusado por um novo grupo de ransomware, conhecido como concerto. Os EUA. Agência de Segurança Cibernética e de Infraestrutura foi quem fez a divulgação da exploração ativa da falha.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo