據(jù)Securityaffairs網(wǎng)站消息，谷歌開(kāi)源團(tuán)隊(duì)掃描了Maven Central Java軟件包庫(kù)，發(fā)現(xiàn)35863個(gè)軟件包使用的Apache Log4j庫(kù)版本易受Log4Shell漏洞和CVE-2021-45046 RCE攻擊。

[[441614]]

據(jù)了解，受影響的Java包數(shù)量占Maven中央存儲(chǔ)庫(kù)(最重要的Java包存儲(chǔ)庫(kù))的8%.。谷歌發(fā)布報(bào)告表示，介于log4j漏洞近來(lái)對(duì)軟件行業(yè)產(chǎn)生了廣泛影響，8%的比例對(duì)整個(gè)行業(yè)生態(tài)的影響依然巨大。

谷歌專家使用了Open Source Insights(一個(gè)用于確定開(kāi)源依賴項(xiàng)的項(xiàng)目)來(lái)評(píng)估Maven 中央存儲(chǔ)庫(kù)中所有的所有軟件版本。專家指出，受影響的直接依賴項(xiàng)軟件包大約有7000個(gè)，大多數(shù)受影響的為間接依賴項(xiàng)。

漏洞在依賴關(guān)系鏈中的位置越深，修復(fù)它需要的步驟就越多。下圖顯示了受影響的log4j包(核心或api)首次出現(xiàn)在消費(fèi)者依賴關(guān)系圖中的深度柱狀圖，對(duì)于超過(guò)80%的軟件包來(lái)說(shuō)，漏洞的深度超過(guò)了一級(jí)，大多數(shù)受影響的程度為五級(jí)(有些甚至多達(dá)九級(jí))，對(duì)這些軟件包進(jìn)行修復(fù)，需從最深的依賴關(guān)系開(kāi)始。

自Log4j漏洞披露以來(lái)，所有受其影響的軟件包中已有13%被修復(fù)，那要在整個(gè)軟件生態(tài)系統(tǒng)中修復(fù)此漏洞需要多長(zhǎng)時(shí)間?專家認(rèn)為，盡管最近幾天行業(yè)內(nèi)急于修復(fù)log4j，但整個(gè)過(guò)程可能需要數(shù)年時(shí)間。

谷歌表示，他們鼓勵(lì)開(kāi)源社區(qū)繼續(xù)加強(qiáng)這些軟件包的安全性，啟用自動(dòng)依賴更新并添加安全緩解措施。

參考來(lái)源：https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html