Уязвимые версии Log4j были загружены 4 млн раз из Apache Maven Central

12.01.2022

По данным компании Sonatype, управляющей репозиторием Apache Maven Central Repository, в период с 10 декабря 2021-го по 10 января 2022 года уязвимая версия утилиты журналирования Log4j была загружена 4 млн раз. В общей же сложности за указанный период разные версии библиотеки были загружены 10 млн раз, пишет SecurityLab.

Оригинальная уязвимость, получившая название Log4shell ( CVE-2021-44228 ), затрагивает версии библиотеки (ветка 2.x) 2.14 и более ранние. Исправление для нее было выпущено 10 декабря 2021 года с выходом версии 2.15.

Если коротко, уязвимость заключается в том, что данные для журналирования, содержащие введенные пользователем строки, могут вызвать выполнение произвольного кода, запрошенного с удаленного сервера. В последующие дни также были выявлены дополнительные уязвимости (CVE-2021-45056, CVE-2021-45105 и CVE-2021-44832 ).

Как сообщил изданию The Register старший технический директор Sonatype Илкка Турунен (Ilkka Turunen), число загрузок Log4j до версии 2.15 из репозитория Maven до странного высокое. Около 40% загрузок за последние несколько дней пришлись на Великобританию.

Загрузки уязвимых версий Турунен объясняет следующим образом: «Есть такой длинный хвост программного обеспечения, куда они все еще встроены... не обязательно как прямая зависимость».

По данным Sonatype, около 42% от общего числа загрузок Log4j за прошлые выходные пришлись на самые последние версии утилиты (2.17 и 2.17.1). Напомним, основные уязвимости Log4shell были устранены в версии 2.16, а значит, по крайней мере некоторые организации не просто устанавливают исправленные версии (2.15 или 2.16), но и самые последние.