据Securityaffairs网址信息,Google开源系统精英团队扫描仪了Maven Central Java软件包库,发觉35863个软件包应用的Apache Log4j库版本号易受Log4Shell漏洞和CVE-2021-45046 RCE进攻。
据统计,受影响的Java包总数占Maven中间储存库(最重要的Java包存储库)的8%.。Google公布汇报表明,处于log4j漏洞近期对互联网行业造成了普遍危害,8%的比率对所有领域绿色生态的危害仍然极大。
Google权威专家应用了Open Source Insights(一个用以明确开源系统依赖项的新项目)来评定Maven 中间储存库文件全部的所有软件版本。权威专家强调,受影响的立即依赖项软件包大概有7000个,大部分受影响的为间接性依赖项。
漏洞在依赖关系链中的部位越重,修复它要的流程就越大。下面的图展示了受影响的log4j包(关键或api)初次发生在顾客依赖关系图上的深层柱形图,针对超出80%的软件包而言,漏洞的高度超出了一级,大部分受影响的水平为五级(有一些乃至高达九级),对这种软件包开展修复,需从深刻的依赖关系逐渐。
自Log4j漏洞公布至今,全部受其危害的软件包中已经有13%被修复,那要在全部手机软件生态体系中修复此漏洞必须多久?权威专家觉得,虽然最近领域内急切修复log4j,但整个过程很有可能必须多年時间。
Google表明,她们激励开源项目切实加强这种软件包的安全系数,开启全自动依赖升级并加上安全性减轻对策。
参照来源于:https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html