谷歌警告称,超过35000个Java包受 Log4j 漏洞影响
2023-04-18 16:21:34 时间
据Securityaffairs网站消息,谷歌开源团队扫描了Maven Central Java软件包库,发现35863个软件包使用的Apache Log4j库版本易受Log4Shell漏洞和CVE-2021-45046 RCE攻击。
据了解,受影响的Java包数量占Maven中央存储库(最重要的Java包存储库)的8%.。谷歌发布报告表示,介于log4j漏洞近来对软件行业产生了广泛影响,8%的比例对整个行业生态的影响依然巨大。
谷歌专家使用了Open Source Insights(一个用于确定开源依赖项的项目)来评估Maven 中央存储库中所有的所有软件版本。专家指出,受影响的直接依赖项软件包大约有7000个,大多数受影响的为间接依赖项。
漏洞在依赖关系链中的位置越深,修复它需要的步骤就越多。下图显示了受影响的log4j包(核心或api)首次出现在消费者依赖关系图中的深度柱状图,对于超过80%的软件包来说,漏洞的深度超过了一级,大多数受影响的程度为五级(有些甚至多达九级),对这些软件包进行修复,需从最深的依赖关系开始。
自Log4j漏洞披露以来,所有受其影响的软件包中已有13%被修复,那要在整个软件生态系统中修复此漏洞需要多长时间?专家认为,尽管最近几天行业内急于修复log4j,但整个过程可能需要数年时间。
谷歌表示,他们鼓励开源社区继续加强这些软件包的安全性,启用自动依赖更新并添加安全缓解措施。
参考来源
https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html
相关文章
- 推荐一款Kubernetes应用性能分析工具Kubectl Flame
- 如何让你的作业在Hadoop集群中真正实现分布式运行?
- Eclipse 基金会创立 Adoptium 项目,用于为企业提供 JRE
- 鸿蒙开发之JS与Java的混合使用与交互
- 新Ubuntu 11.10加速企业安装Hadoop
- 两种模式运行Hadoop分布式并行程序
- 解读 Java 云原生实践中的内存问题
- Socket是并发安全的吗
- GitHub Copilot最新升级!61%的Java开发者用来摸鱼,工作效率提升55%
- 承载高并发的缓存技术究竟是什么?
- 云原生Java框架-Micronaut
- 七个用于云原生世界的Java框架
- JAVA回调机制(CallBack)详解
- 面试感悟----一名3年工作经验的程序员应该具备的技能
- Java 征途:行者的地图
- java中文乱码解决之道(一)-----认识字符集
- 关于如何提高Web服务端并发效率的异步编程技术
- 为什么做java的web开发我们会使用struts2,springMVC和spring这样的框架?
- 如何在高并发环境下设计出无锁的数据库操作(Java版本)
- 高并发服务端分布式系统设计概要(上)