Jump to content

Уязвимые версии Log4j были загружены 4 млн раз из Apache Maven Central


Recommended Posts

Уязвимые версии Log4j были загружены 4 млн раз из Apache Maven Central

15:35 / 11 Января, 2022 2022-01-11T16:35:58+03:00

Alexander Antipov

В период с 10 декабря 2021-го по 10 января 2022 года уязвимая версия Log4j была загружена из репозитория 4 млн раз.

https://www.securitylab.ru/upload/iblock/0c9/0c9b7edbfe095bd1be3699ed971a7dc8.png

По данным компании Sonatype, управляющей репозиторием Apache Maven Central Repository, в период с 10 декабря 2021-го по 10 января 2022 года уязвимая версия утилиты журналирования Log4j была загружена 4 млн раз. В общей же сложности за указанный период разные версии библиотеки были загружены 10 млн раз.

Оригинальная уязвимость, получившая название Log4shell ( CVE-2021-44228 ), затрагивает версии библиотеки (ветка 2.x) 2.14 и более ранние. Исправление для нее было выпущено 10 декабря 2021 года с выходом версии 2.15.

Если коротко, уязвимость заключается в том, что данные для журналирования, содержащие введенные пользователем строки, могут вызвать выполнение произвольного кода, запрошенного с удаленного сервера. В последующие дни также были выявлены дополнительные уязвимости (CVE-2021-45056, CVE-2021-45105 и CVE-2021-44832 ).

Как сообщил изданию The Register старший технический директор Sonatype Илкка Турунен (Ilkka Turunen), число загрузок Log4j до версии 2.15 из репозитория Maven до странного высокое. Около 40% загрузок за последние несколько дней пришлись на Великобританию.

Загрузки уязвимых версий Турунен объясняет следующим образом: «Есть такой длинный хвост программного обеспечения, куда они все еще встроены... не обязательно как прямая зависимость».

По данным Sonatype, около 42% от общего числа загрузок Log4j за прошлые выходные пришлись на самые последние версии утилиты (2.17 и 2.17.1). Напомним, основные уязвимости Log4shell были устранены в версии 2.16, а значит, по крайней мере некоторые организации не просто устанавливают исправленные версии (2.15 или 2.16), но и самые последние.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...