Vulnerabilidade Log4j ameaça 35,000 Pacotes Java

Log4j threatens Java packages

Google escaneou o Maven Central, o maior repositório Java até hoje, e descobriu que a vulnerabilidade Log4j ameaçava 35,863 Pacotes Java.

Os pacotes são vulneráveis ​​à exploração original do Log4Shell (CVE-2021-44228) ou o segundo problema de RCE descoberto após o lançamento do patch (CVE-2021-45046).

As vulnerabilidades podem permitir que um invasor execute execução remota de código usando a função de pesquisa JNDI insegura fornecida pela biblioteca de log log4j. Este recurso vulnerável foi habilitado por padrão em muitas versões da biblioteca.Especialistas do Google escrevem.

Esta vulnerabilidade dominou o ecossistema de segurança da informação desde sua divulgação em dezembro 10 devido à sua gravidade e impacto generalizado. Como uma ferramenta de registro popular, log4j é usado por dezenas de milhares de pacotes de software (conhecidos como artefatos no ecossistema Java) e projetos na indústria de software.

Os pesquisadores observam que geralmente após a descoberta da próxima vulnerabilidade, acontece que isso afeta apenas cerca de 2% do conteúdo do Maven Central. No entanto, o 35,000 pacotes vulneráveis ​​ao Log4Shell é aproximadamente 8% de todo o conteúdo do Maven Central, e especialistas apontam que o percentual é “enorme.”

Atualmente, 4620 desenvolvedores fora 35,863 pacotes (13% do número total de pacotes vulneráveis) já atualizaram seus produtos. Para comparação, os pesquisadores citam estatísticas semelhantes para vulnerabilidades Java anteriores, quando sobre 48% das bibliotecas receberam patches.

Esta estatística é maior do que qualquer outra estatística, que reflete os enormes esforços dos desenvolvedores de software de código aberto, equipes de segurança cibernética e consumidores em todo o mundo. analistas dizem.

Infelizmente, especialistas escrevem que é improvável que o problema do Log4Shell seja completamente resolvido nos próximos anos. A principal dificuldade é que Log4j nem sempre é uma dependência direta e muitas vezes é uma dependência de outra dependência. Em tais situações, desenvolvedores de pacotes vulneráveis ​​precisam esperar que outros desenvolvedores atualizem seus aplicativos, que em alguns casos pode levar semanas ou até meses.

Por exemplo, de acordo com estatísticas coletadas pelo Google, Log4j é uma dependência direta apenas para 7000 fora de 35000 pacotes, o que significa que muitos desenvolvedores provavelmente terão que desabilitar dependências indiretas que não foram atualizadas para usar alternativas seguras.

Log4j ameaça pacotes Java

Deixe-me lembrá-lo de que também informamos que Especialistas já estão corrigindo ataques à vulnerabilidade Log4Shell.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *