谷歌警告称,超过35000个Java包受 Log4j 漏洞影响


据Securityaffairs网站消息,谷歌开源团队扫描了Maven Central Java软件包库,发现35863个软件包使用的Apache Log4j库版本易受Log4Shell漏洞和CVE-2021-45046 RCE攻击。

据了解,受影响的Java包数量占Maven中央存储库(最重要的Java包存储库)的8%.。谷歌发布报告表示,介于log4j漏洞近来对软件行业产生了广泛影响,8%的比例对整个行业生态的影响依然巨大。

谷歌专家使用了Open Source Insights(一个用于确定开源依赖项的项目)来评估Maven 中央存储库中所有的所有软件版本。专家指出,受影响的直接依赖项软件包大约有7000个,大多数受影响的为间接依赖项。

漏洞在依赖关系链中的位置越深,修复它需要的步骤就越多。下图显示了受影响的log4j包(核心或api)首次出现在消费者依赖关系图中的深度柱状图,对于超过80%的软件包来说,漏洞的深度超过了一级,大多数受影响的程度为五级(有些甚至多达九级),对这些软件包进行修复,需从最深的依赖关系开始。

自Log4j漏洞披露以来,所有受其影响的软件包中已有13%被修复,那要在整个软件生态系统中修复此漏洞需要多长时间?专家认为,尽管最近几天行业内急于修复log4j,但整个过程可能需要数年时间。

谷歌表示,他们鼓励开源社区继续加强这些软件包的安全性,启用自动依赖更新并添加安全缓解措施。

参考来源:https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html

OpenSSL爆严重DoS和证书验证漏洞

OpenSSL是一个功能丰富且自包含的开源安全工具箱。它提供的主要功能有:SSL协议实现(包括SSLv2、SSLv3和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法密钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解...
漏洞服务器安全证书openSSLDOS

虚拟主机和云服务器有什么区别

虚拟主机和云服务器有什么区别?虚拟主机是一种在单一主机或主机群上,实现多网域服务的方法,把一台运行在互联网上的物理服务器划分成多个“虚拟”的空间。云服务器是在一组集群主机上虚拟出多个类似独立主机的部分,集群中每个主机上都有云服务器的一个镜像,大大提高了主机的安...
云服务器虚拟主机区别

云的错误配置,云安全的一个主要风险

云端错误配置仍然是云端数据泄露的首要原因,而正在进行的新冠疫情正在使情况更加恶化。几乎所有的企业都认为,向云基础设施的过渡产生了新的安全漏洞,84%的企业担心他们已经被入侵却不知道,而28%的企业已经已经被黑客攻击并且意识到了攻击的存在。不幸的是,即使对安全风...
服务器安全网络安全云安全云计算

三招教企业抵御小流量DDoS攻击

很多由僵尸网络驱动的DDoS攻击利用了成千上万的被感染的物联网,通过向受害者网站发起大量的流量为攻击手段,最终造成严重后果。不断推陈出新的防御方式使这种分布式拒绝服务攻击也在变化着自己的战术,从大流量向“小流量”转变。一项数据显示,5 Gbit/s及以下的攻击...
服务器安全DDos攻击僵尸网络IoT