1. Главная
  2. Новости
  3. Google: Уязвимость Log4j угрожает 35 000 пакетов Java

Google: Уязвимость Log4j угрожает 35 000 пакетов Java

Google: Уязвимость Log4j угрожает 35 000 пакетов Java

Специалисты Google просканировали Maven Central, крупнейший на сегодняшний день репозиторий пакетов Java, и обнаружили, что 35 863 из них используют уязвимые версии библиотеки Log4j. Пакеты уязвимы либо для исходного эксплоита Log4Shell (CVE-2021-44228), либо для второй RCE-проблемы, обнаруженной уже после выхода патча (CVE-2021-45046), пишет Хакер.

Исследователи отмечают, что обычно после обнаружения очередной уязвимости выясняется, что она затрагивает только около 2% содержимого Maven Central. Однако 35 000 уязвимых перед Log4Shell пакетов, это примерно 8% от всего содержимого Maven Central, и эксперты подчеркивают, что процент «огромен».

В настоящее время разработчики 4620 из 35 863 пакетов (13% от общего числа уязвимых пакетов) уже обновили свои продукты. Для сравнения исследователи приводят схожую статистику прошлых Java-уязвимостей, когда исправления получали примерно 48% библиотек.

«Этот статистический показатель больше любого другого, что свидетельствует об огромных усилиях разработчиков опенсорсного ПО, ИБ-команд и потребителей по всему миру», — говорят аналитики.

Увы, специалисты пишут, что проблема Log4Shell вряд ли будет исправлена ​​полностью в ближайшие годы. Основная сложность заключается в том, что Log4j не всегда является прямой зависимостью и зачастую представляет собой зависимость от другой зависимости. В таких ситуациях разработчикам уязвимых пакетов приходится ждать, пока другие разработчики обновят свои приложения, что в некоторых случаях растягивается на недели и даже месяцы.

Так, согласно собранной Google статистике, Log4j является прямой зависимостью только для 7000 из 35 000 пакетов, то есть многим разработчикам, скорее всего, придется отключить косвенные зависимости, которые не были обновлены для использования безопасных альтернатив.

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
Мошенники начали подделывать голоса следователей с помощью ИИ
Мошенники начали подделывать голоса следователей с помощью ИИ

Следственное управление в Калининградской области предупредило о новой схеме дистанционных мошенничеств, в которой злоумышленники используют технологии искусственного интеллекта для подделки голосов и изображений публичных сотрудников Следственного комитета.

подробнее Стрелочка
ViPNet Prime получил сертификацию ФСБ России
ViPNet Prime получил сертификацию ФСБ России

Компания «ИнфоТеКС» информирует о получении сертификата ФСБ России на средство криптографической защиты информации ViPNet Prime Key Center из состава системы централизованного управления продуктами и решениями ИнфоТеКС ViPNet Prime.

подробнее Стрелочка
В Telegram начали использовать нестандартные proxy-ссылки для обхода блокировок и автоматизации
В Telegram начали использовать нестандартные proxy-ссылки для обхода блокировок и автоматизации

В Telegram появились сообщения о распространении нового типа deep-ссылок proxy, которые позволяют пользователям и скриптам обходить ограничения доступа к мессенджеру и автоматически подключаться через прокси-серверы.

подробнее Стрелочка
В новогодние праздники киберпреступники усилили атаки на ключевые отрасли России
В новогодние праздники киберпреступники усилили атаки на ключевые отрасли России

Компания RED Security, открытая экосистема ИБ-решений и экспертизы для комплексной защиты бизнеса, зафиксировала резкое увеличение доли высококритичных кибератак в период в период новогодних праздников.

подробнее Стрелочка