近期工信部网络安全管理局通报称,阿里云计算有限公司(以下称:阿里云)在 11 月 24 日发现了 Log4j2 安全漏洞隐患后率先向 Apache 基金会披露了该漏洞,未及时向中国工信部通报相关信息,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位 6 个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
根据工信部官网消息,工业和信息化部网络安全威胁和漏洞信息共享平台 12 月 9 日收到有关网络安全专业机构报告后,立即组织有关网络安全专业机构开展漏洞风险分析。
漏洞波及范围极广
由于漏洞利用门槛不高、Log4j 应用范围广,所以这次 Log4j 漏洞事件引发的安全影响十分深远。
根据谷歌安全团队的统计,截至 2021 年 12 月 16 日,来自 Maven Central 的 35,863 个可用 Java 组件依赖于 Log4j。这意味着 Maven Central 上超过 8% 的软件包里至少有一个版本会受此漏洞影响。漏洞修复前,攻击者可以通过利用日志库 Log4j 公开的不安全 JNDI 查找功能来执行远程代码执行,而这项功能在该库的许多版本中默认启用。
对于生态系统来说,8% 的数字是巨大的。该漏洞对 Maven Central 生态系统的平均影响为 2%,中位数低于 0.1%。
来源:谷歌安全
其中,受影响组件中有 7,000 个为直接依赖项,这意味着其任何版本都依赖于受影响的 Log4j-core 或 Log4j-api 版本。而大多数受影响的组件来自间接依赖项(即自己依赖项的依赖项),这意味着 Log4j 没有明确被定义为组件的依赖项,而是作为传递依赖项去影响这些组件。