据Securityaffairs网站报道,谷歌开源团队扫描了MavenCentralJava包库,发现有35863个包使用了易受Log4Shell攻击的ApacheLog4j库版本漏洞和CVE-2021-45046RCE攻击。据了解,受影响的Java包数量占Maven中央仓库(最重要的Java包仓库)的8%。根据谷歌发布的一份报告,由于近期log4j漏洞对软件行业产生了广泛的影响,8%的比例对整个行业生态的影响依然巨大。Google专家使用OpenSourceInsights(一个用于识别开源依赖项的项目)来评估Maven中央存储库中的所有软件版本。专家指出,受影响的直接依赖包约有7000个,其中大部分为间接依赖。依赖链中的漏洞越深,修复它所需的步骤就越多。下图显示了受影响的log4j包(核心或api)首先出现在消费者依赖关系图中的深度直方图。对于超过80%的软件包,漏洞的深度都在一级以上,受影响最大的有五个级别(有的多达九个),这些软件包的修复从最深的依赖关系开始。自Log4j漏洞被披露以来,所有受影响的软件包中有13%已得到修复。在整个软件生态系统中修复此漏洞需要多长时间?专家认为,尽管最近几天业界急于修复log4j,但整个过程可能需要数年时间。谷歌表示,他们鼓励开源社区继续加强这些软件包的安全性,启用自动依赖更新并添加安全缓解措施。参考来源:https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html
