首页 > 业界 > 关键词  > 正文

谷歌开源洞察团队详解Apache Log4j漏洞造成的广泛影响

2021-12-20 17:31 · 稿源: cnbeta

上周五,谷歌开源洞察团队在官方安全博客上发表了一篇文章,详细介绍了 Apache Log4j 漏洞对行业造成的广泛影响。James Wetter 和 Nicky Ringland 指出,超过 35000 个 Java 包、占总数 8% 以上的 Maven 中央存储库,尤其让我们对其留下的隐患感到担忧。

1.png

(来自:Google Security Blog)

据悉,这些漏洞允许攻击者利用 Log4j 日志库已被广为人知的不安全 JNDI 查找功能来执行远程代码。糟糕的是,这项功能在许多版本中都被默认启用。

自 12 月 9 日披露以来,Log4j 漏洞因其严重性和广泛影响,而引起了信息安全生态系统的高度关注。毕竟作为一款流行的日志工具,它已被数以万计的软件包(Java 里的 Artifacts)和项目所使用。

由于用户对 Log4j 的传递依赖项缺乏足够的远见,这不仅使得我们很难确定零日漏洞的影响范围、相关修复工作也变得相当困难。

2.png

期间,Google 开源洞察团队调查了 Maven 中央存储库中的 Java 工件的所有版本,最终将范围缩小到了基于 JVM 语言的开源生态系统,同时密切追踪事态的发展。

截至 2021 年 12 月 16 日,该团队发现来自 Maven Central 的 35863 个可用 Java 工件,有依赖于受影响的 log4j 代码。

这意味着,仅 Maven Central 平台上超过 8% 的软件包,都至少有一个版本受此漏洞的影响。

若放眼整个生态系统,漏洞威力更是不容小觑(Maven Central 的平均影响为 2% / 中位数低于 0.1%)。

直接受影响的依赖项,约占这部分工件中的 7000 个,意味着它们的任何版本都被 Log4j-core 或 Log4j-api 所波及(完整列表可见 CVE 漏洞披露公告)。

此外大多数受影响的工件,都来自间接的依赖项,即它们是作为传递依赖项而被牵扯进来的。

3.png

至于当前开源 JVM 生态系统的修复进展,若工件中至少有一个版本受到了影响,且发布了一个不受漏洞波及的更稳定版本,谷歌开源洞察团队就将之视作已修复。

比如受 Log4j 漏洞影响的工件已更新到 2.16.0、或完全剔除了对 Log4j 的依赖。庆幸的是,Log4j 维护者和更广泛的开源社区对此问题的响应是相当迅速的,并且付出了切实的巨大努力。

截止博客发表时,团队统计到了将近 5000 个已被修复的项目。至于剩余的那 30000 个工件,其中许多依赖于另一个工件。在传递依赖被修复前,暂时只有一刀切来阻止。

4.png

对于 Java 生态系统来说,修复难度主要体现在工件的互相连接。首先,依赖链越深,漏洞修复所需的步骤就越繁杂(超过 80% 软件包的深度都超过了一级)。

其次,依赖算法和需求规范中的生态系统级选择约定,也为事件埋下了较大的伏笔。在 Java 生态系统中,开发者的通常做法是指定软件版本方面的“软”要求(假设没有其它版本的相同包出现在依赖关系图中)。

此类修复通常需要维护人员采取更加明确的行动,以将依赖需求更新为修补后的版本。这种做法与其它生态系统形成了鲜明的对比,例如在 npm 软件包上,开发者通常会为依赖项指定敞开的范围。

最后,对于整个生态系统需要耗费多少时间来完成漏洞修复,目前也很难评估。在查看了所有公开披露的影响 Maven 包的关键建议中,我们发现只有不到一半(48%)得到了修复。

不过在 Log4j 方面,事情还算是相当积极的。不到一周后,就有 4620 个受影响的工件(约 13%)得到了修复。剩下的工作,仍需全球开源维护者、信息安全团队和广大用户付出巨大的努力。

举报

  • 相关推荐
  • 大家在看
  • 【腾讯云】618年中专享优惠抢先看,价值1206元礼券一键领取

    腾讯云618采购采购季,云服务器多种机型限时抢购,产品首购低至1折,续费最高享3.6折优惠。,专业技术7*24小时在线服务,腾讯云为企业和个人提供快捷,安全,稳定的云服务!

    广告
  • Google宣布开源offload友好协议PSP

    中关村在线消息,近日Google宣布将PSP(PSP Security Protocol)协议开源。该协议旨在处理数据中心规模的加密硬件offloading,目前该协议已经部署到Google的生产中。为了更好地保护用户隐私,Google早在十多年前就对数据中心之间的流量进行加密。在随后的发展中,几乎所有Google传输的数据都进行了加密。虽然这项工作提供了宝贵的隐私和安全优势,但软件加密付出了巨大的代价:加密和解密RPC需要大约0.7%的Google处理能力,以及相应的内存量。鉴于TLS不够友好,缺乏对UDP的支持,同时在IPsec上也存在一些缺陷,因此Google自主研发了自己的

  • Appwrite推出开源软件基金 致力帮助项目维护者与开源社区的健康发展

    尽管许多现代应用程序都依赖于部分开源组件来实现相关功能,但用爱发电的开源开发者们往往会陷入困境。为了化解这方面的风险,我们已在过去数月见到多个旨在维持开源供应链健康发展的项目 —— 比如谷歌与微软联手推出的 Alpha-Omega 。通过与项目维护者直接对接,这项合作将致力于在开源代码库中查找新发现的错误。与此同时,Spotify 也推出了一个 10 万欧元(10.9 万美元)的基金,以支持小型“独立”项目维护者。 现在,紧随早前发起的 2700 万美元的筹款活动,开源后端即服务(BaaS)公司 Appwrite,也为开源项目维护者推出了一个专门

  • 苹果聘请福特资深高管加入电动汽车 Apple Car 团队

    据彭博报道,苹果公司已聘请到福特负责安全和车辆工程的资深高管,此举意味着苹果再次加大电动汽车的开发力度...Ujkashevic自1991年以工程师身份加入福特后,一直在福特任职,近期担任汽车安全工程全球总监,此前她曾协助监督许多福特车型的内饰、外观、底盘与电动零组件工程...

  • 苹果降低Mac、iPad和Apple Watch的以旧换新价格

    苹果本周降低了其在美国部分Mac、iPad 和Apple Watch型号的以旧换新价值,不过本次iPhone以旧换新价格没有降价,可见其价格更加坚挺...苹果降低了MacBook Pro、MacBook Air、MacBook、iMac、iMac Pro、Mac Pro、Mac mini、iPad Pro、iPad Air、iPad、iPad mini、Apple Watch Series3到 Apple Watch Series6的以旧换新价值,同时也支持三星和谷歌智能手机的以旧换新......

  • 智汇华云 | bcache原理及实践

    简单介绍下bcache,bcache是linux内核块设备层的cache...bcache可以大概分为两个部分,一个是linux内核模块,一个是bcache-tools,bcache内核模块在linux内核3.10及以上才支持,所以使用bcache,需要将内核升级到3.10及以上版本才行...用磁盘作为Bcache磁盘前,请先确保磁盘是空的,或者磁盘中的数据无关紧要...2、如果使用make-bcache命令出现了如下打印,那就说明当前磁盘已经是bcache磁盘,......

  • 中兴与腾讯强强联合,新支点操作系统宣布加入OpenCloudOS开源社区

    该社区是由腾讯与合作伙伴共同倡议发起,作为国产开源操作系统社区,OpenCloudOS沉淀了腾讯及多家厂商在软件和开源生态的优势,在云原生、稳定性、性能、硬件支持等方面均有坚实支撑,可以平等全面地支持所有硬件平台...独木难成林,百花齐放才更益于信息产业安全的繁荣与发展,新支点操作系统很高兴能加入并参与到OpenCloudOS社区建设,新支点操作系统将积极与各大厂商共同携手、聚智、推动、共建社区的繁荣,实现合作共赢......

  • 英特尔进一步助力跨架构开发,宣布开源SYCLomatic项目

    英特尔发布了一项开源工具,该工具可通过名为SYCLomatic的项目,将代码迁移至SYCL1,这有助于开发者更轻松地将CUDA代码迁移到SYCL和C++,从而加速面向异构架构的跨架构编程...如今的开发者及其团队普遍缺乏时间、金钱和资源,以适应代码的重写和测试,为这些不同的架构提升应用的性能...跨架构重复利用代码简化了开发工作,减少了持续维护代码所需的时间和成本......

  • papi酱,真的不“红”了吗?

    这已经不是papi酱第一次引发争论了,回顾前几次与papi酱有关的热搜,“papi酱把自己排在第一位的人生排序”“papi酱结婚 5 年亲家没见过面”……papi酱似乎只要在节目中谈论个人观点,就能引发一阵大众讨论...据统计, 2019 年papi酱一共更新 33 条视频,也是从 2019 年开始,papi酱的视频在微博播放量开始跌破 1000 万......

  • 新手如何使用YonBuilder移动低代码开发平台(APICloud)开发app

    APICloud是用友YonBuilder的移动端低代码开发平台,采用标准Web语言开发高性能多端app,目前已有 100 万开发者注册使用...自定义Loader是APICloud 为方便开发者在移动设备调试app而开发的一种调试器,开发者可以在移动设备上实时调试app并将日志输出到APICloud Studio3 中,方便在本地进行开发......

  • Apple Pay“先买后付”预计今年上线

    据彭博社报道,苹果公司正在开发两项与金融相关的服务,分别为硬件订阅计划和Apple Pay交易的“先买后付”服务...“先买后付”这项服务允许客户分期支付使用 Apple Pay 的的消费,类似于花呗,卖家会提前收到款项,然后由苹果与买家进行后续的分期付款...A这项服务将有助于Apple Pay的采用率,且Apple将可自“先买后付”中的每笔消费获得一定比例的收入,预计将可为Apple未来带来每年超过500亿美元的额外服务营收...

今日大家都在搜的词: