谷歌警告称，超过35000个Java包受 Log4j 漏洞影响

据Securityaffairs网站消息，谷歌开源团队扫描了Maven Central Java软件包库，发现35863个软件包使用的Apache Log4j库版本易受Log4Shell漏洞和CVE-2021-45046 RCE攻击。

据了解，受影响的Java包数量占Maven中央存储库（最重要的Java包存储库）的8%.。谷歌发布报告表示，介于log4j漏洞近来对软件行业产生了广泛影响，8%的比例对整个行业生态的影响依然巨大。

谷歌专家使用了Open Source Insights（一个用于确定开源依赖项的项目）来评估Maven 中央存储库中所有的所有软件版本。专家指出，受影响的直接依赖项软件包大约有7000个，大多数受影响的为间接依赖项。

漏洞在依赖关系链中的位置越深，修复它需要的步骤就越多。下图显示了受影响的log4j包（核心或api）首次出现在消费者依赖关系图中的深度柱状图，对于超过80%的软件包来说，漏洞的深度超过了一级，大多数受影响的程度为五级（有些甚至多达九级），对这些软件包进行修复，需从最深的依赖关系开始。

自Log4j漏洞披露以来，所有受其影响的软件包中已有13%被修复，那要在整个软件生态系统中修复此漏洞需要多长时间？专家认为，尽管最近几天行业内急于修复log4j，但整个过程可能需要数年时间。

谷歌表示，他们鼓励开源社区继续加强这些软件包的安全性，启用自动依赖更新并添加安全缓解措施。

参考来源

https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html