谷歌警告!超过35000个Java包受 Log4j 漏洞影响
文章来源:FreeBuf.COM
据Securityaffairs网站消息,谷歌开源团队扫描了Maven Central Java软件包库,发现35863个软件包使用的Apache Log4j库版本易受Log4Shell漏洞和CVE-2021-45046 RCE攻击。
据了解,受影响的Java包数量占Maven中央存储库(最重要的Java包存储库)的8%.。谷歌发布报告表示,介于log4j漏洞近来对软件行业产生了广泛影响,8%的比例对整个行业生态的影响依然巨大。
谷歌专家使用了Open Source Insights(一个用于确定开源依赖项的项目)来评估Maven 中央存储库中所有的所有软件版本。专家指出,受影响的直接依赖项软件包大约有7000个,大多数受影响的为间接依赖项。
自Log4j漏洞披露以来,所有受其影响的软件包中已有13%被修复,那要在整个软件生态系统中修复此漏洞需要多长时间?专家认为,尽管最近几天行业内急于修复log4j,但整个过程可能需要数年时间。
谷歌表示,他们鼓励开源社区继续加强这些软件包的安全性,启用自动依赖更新并添加安全缓解措施。
版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。祝愿每一位读者生活愉快!谢谢!
推荐阅读
*北京一男子发现支付漏洞,疯狂套现1300万,花400万打赏女主播