Apache Log4j 漏洞的影响规模

最新推荐文章于 2023-06-26 11:17:57 发布
最新推荐文章于 2023-06-26 11:17:57 发布
阅读量263 收藏
点赞数
文章标签: java python 人工智能 linux 区块链
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NjY5NzI0NA==&mid=2247505748&idx=4&sn=49d8816e6e4f25604c8782322ebdf805&chksm=ea88b827ddff31314d4a7da2f41d106d1e7b9c0c8dae697dc909a8b7991085d6a5f271538d39&scene=126&&sessionid=0
版权

出品 | OSC开源社区(ID:oschina2013)

来自 Google Open Source Insights Team 的安全研究人员通过调查 Maven Central 中所有软件包的所有版本,以更好地了解最近曝出的 Log4j 漏洞对整个 JVM 语言生态系统的影响,同时还跟踪了正在进行的缓解受影响软件包的工作。

研究人员发现,截至 2021 年 12 月 16 日,来自 Maven Central 的 35,863 个可用软件包依赖于存在漏洞的 log4j 代码。这意味着 Maven Central 上超过 8% 的软件包至少有一个版本受漏洞影响(此数字不包括所有 Java 软件包,例如直接分发的二进制文件)

就生态系统影响而言,8% 是相当巨大的数字。因为对 Maven Central 生态的平均影响数值为 2%,中位数则低于 0.1%。

3d14bcf10f9c8916446355ba88f241a9.png

如记录漏洞的 CVE 所述,大多数受影响的软件包来自间接依赖项(即自身依赖项的依赖项),也就是说它们没有将 log4j 明确定义为依赖项,而是作为传递依赖项被引入进来。

284e689ebdc1237a12bfd447611b20f2.png

这正是 JVM 生态整体上修复此漏洞异常困难的原因。安全研究人员称,在撰写文章时,只修复了近五千个受影响的软件包,还有 30000 多个软件包会受到漏洞的影响。

8dbb755c1cce25c2914706c6068dd937.png

简单来说就是,漏洞在依赖关系链中嵌套得越深,修复漏洞所需的步骤就越多。下图显示了受影响的 log4j 包(核心或 api)首次出现在依赖图中的深度的直方图。对于超过 80% 的软件包,该漏洞的深度超过一级,其中大多数受影响的级别下降了 5 个级别(有些甚至下降了 9 个级别)。这些包将需要在依赖树的所有部分进行修复,而且首先从最深处的依赖关系开始。

89de841927535c7d19aae6461f7c157a.png

修复漏洞的另一个困难之处由解析算法 (resolution algorithm) 和需求规范约定中生态系统层级的选择引起。

在 Java 生态中,开发者通常的做法是指定软件版本方面的“软”要求——假设没有其它版本的相同包出现在依赖关系图中,解析算法会使用指定的明确版本。对于此类修复,通常需要维护者采取更加明确的行动,以将依赖需求更新为修补后的版本。这种做法与其它生态形成了鲜明的对比,例如在 npm 软件包中,开发者通常会为依赖项指定开放范围。开放范围允许解析算法选择满足依赖性要求的最近发布的版本,从而引入新的修复。

最后,对于整个生态需要耗费多少时间来完成漏洞修复,目前也很难评估。在查看了所有公开披露的受影响 Maven 软件包中,安全人员发现只有不到一半(48%)得到了修复。

Python数据之道
关注
log4j 漏洞CVE-2021-44228 漏洞复现
kyliuw的博客
03-08 6082
log4j 漏洞CVE-2021-44228 漏洞复现
漏洞研究》Apache Log4j2 远程代码执行漏洞
最新发布
1
11-04 1702
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
盘点:Log4j 漏洞带来的深远影响
mxy2404830的博客
12-23 3419
上周,Log4j 漏洞颠覆了互联网,影响是巨大。攻击者也已经开始利用该漏,到目前为止,Uptycs 研究人员已经观察到与 coinminers、DDOS 恶意软件和一些勒索软件变种相关的攻击,这些攻击积极利用了此漏洞。 未来几天勒索软件攻击的规模可能会增加。由于该漏洞非常严重,因此可能还会发现一些可以绕过当前补丁级别或修复程序的变体。因针对这种攻击持续监控和强化系统是极其重要的。 Uptycs 此前在博客中为其客户分享了有关补救和检测步骤的详细信息 。并讨论了攻击者利用 Log4j 漏洞的各种恶意软件类
美国国土安全部:Log4j 漏洞影响将持续十年或更久
smellycat000的专栏
07-15 222
聚焦源代码安全,网罗国内外最新资讯!作者:Jessica Lyons Hardcastle编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系...
严重危害警告 Log4j 执行漏洞被公开
qq_53058639的博客
02-14 1201
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重。Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程。Log4j 是目前全球使用最广泛的 java 日志框架之一。
Apache Log4j2 漏洞原理
m0_49025459的博客
06-26 2021
Apache Log4j被发现存在一处任意代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响
apache-log4j-2.16.0-bin.tar.gz
12-14
Apache Log4j 是一个广泛使用的Java日志框架,它的主要任务是记录应用程序运行过程中的事件,如错误、警告、调试信息等。Log4j 2.16.0 是该框架的一个版本,它包含了对先前版本的安全更新和性能优化。在Java开发中,...
apache log4j漏洞原理
05-29
Apache Log4j是一个流行的Java日志库,其版本2.0及以上存在一个严重漏洞(CVE-2021-44228),被称为Log4Shell或者Log4j2漏洞。该漏洞可以被攻击者利用,通过特制的日志消息触发远程命令执行,进而完全控制受感染的...
腾讯云容器安全已支持检测Apache Log4j2漏洞
YDclub的博客
12-10 3544
犀引擎发现数万镜像受该漏洞影响,免费试用中
log4j2日志漏洞解决
六月Bing的博客
12-22 3921
日志的作用 日志记录主要用来监视代码中变量的变化情况,周期性的记录到文件中供其他应用进行统计分析工作;跟踪代码运行时轨迹,作为日后审计的依据;担当集成开发环境中的调试器的作用,向文件或控制台打印代码的调试信息。因此,对于程序员来说,日志记录非常重要。 log4j2 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞的出现,正
11.Python异常处理
douyh的专栏
10-21 1218
异常的概念 程序在运行时,如果 Python 解释器 遇到 到一个错误,会停止程序的执行,并且提示一些错误信息,这就是 异常 程序停止执行并且提示错误信息 这个动作,我们通常称之为:抛出(raise)异常 程序开发时,很难将 所有的特殊情况 都处理的面面俱到,通过 异常捕获 可以针对突发事件做集中的处理,从而保证程序的 稳定性和健壮性 一段代码: num = int(input("请输入数字:")) print('hello') 如果我们输入非数字,输出: 请输入数字:s Traceback (m
Log4j 漏洞仍普遍存在,并持续造成影响
资料免费分享,点击名片
07-27 179
Log4j “核弹级” 漏洞 Log4Shell 或许将永远影响世界。美国国土安全部 (DHS) 网络安全审查委员会 (CSRB) 近日发布了针对去年Log4Shell漏洞的调查报告:https://www.cisa.gov/sites/default/files/publications/CSRB-Report-on-Log4-July-11-2022_508.pdfCSRB 是今年 2 月才由 DHS 成立的机构,职责是调查重大网络安全事件,并提供包含提升国家网络安全建议的报告。CSRB 首次调查的事件
漏洞log4j的-a基于Java的日志记录工具的危害
weixin_46525641的博客
12-13 378
近日漏洞被公布为log4j的-a基于Java的日志记录工具,它在Apache日志记录服务项目中的一部分。全球数以百万计的系统使用它来处理日志。
log4j2漏洞分析
weixin_47623655的博客
04-11 1336
漏洞标识符为CVE-2021-44228,通常称为Log4Shell或Log4j漏洞,它存在于Log4j的JNDI查找功能中。攻击者可以通过特殊构造的请求利用此漏洞,向Log4j发送恶意请求,从而触发远程代码执行(RCE)漏洞,进而获得服务器上的完全控制权限。这个漏洞的危害非常大,由于Log4j广泛应用于各种Java应用程序中,这意味着攻击者可以利用该漏洞轻松攻击大量的目标。
LOG4J日志性能建议
weixin_34234721的博客
10-20 570
原文地址:http://fredpuls.com/site/softwaredevelopment/java/log4j/log4j_performance_tips.htm 使用日志可能会让你的应用性能下降20% —— 很难相信吧,但是却是真的可能。 本文讨论一些尽可能提升日志性能的方法,2关键设置 这里通过Junit,使用不同的L...
知名Java日志组件Log4j2爆出严重0 day漏洞,连我们客户都来问中招了没
码农小胖哥
12-10 1241
今天早上醒来,知名的Java日志组件Apache Log4j2就刷爆了圈子。它被发现了一个 0 Day 漏洞,该Log4J2 漏洞可以让黑客通过日志记录远程执行代码(Remote Code...
Log4j2漏洞
热门推荐
qq_20025777的博客
12-10 2万+
Log4j2漏洞危害:高危、远程代码执行
突发!Log4j 爆“核弹级”漏洞,Flink、Kafka等至少十多个项目受影响
Java 架构师之路
12-11 3275
点击关注公众号,Java干货及时送达????作者 | 褚杏娟这两天,你熬夜应急了吗?昨晚,对很多程序员来说可能是一个不眠之夜。12 月 10 日凌晨,Apache 开源项目 Log4j ...
Log4j高危漏洞原理及复现
qq_51302564的博客
12-15 1万+
Log4j高危漏洞原理及复现 漏洞检测||复现环境 查看JDK版本,发现版本小于1.8u121 图3-7 查看JDK版本 查看log4j2版本,发现版本在2.x <= 2.14.1内 图3-8 查看log4j2版本 查看代码,发现存在log4j2相关的lookup语句 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w9LtKVys-1639577266999)(C:\Users\BLACKF~1\AppData\Local\Temp\ksohtml\wps3AFF.
apache log4j漏洞
07-29
这个漏洞的严重性被评为非常高,因为它影响了广泛使用Log4j的众多应用程序。 如果您正在使用Apache Log4j,请确保及时升级到最新版本(目前是2.15.0),以修复该漏洞。此外,您还可以采取一些其他安全措施,例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值