La vulnerabilidad de Log4j amenaza 35,000 paquetes java

Log4j threatens Java packages

Google escaneó Maven Central, el repositorio de Java más grande hasta la fecha, y descubrió que la vulnerabilidad Log4j amenazaba 35,863 paquetes java.

Los paquetes son vulnerables al exploit Log4Shell original (CVE-2021-44228) o el segundo problema de RCE descubierto después del lanzamiento del parche (CVE-2021-45046).

Las vulnerabilidades podrían permitir a un atacante ejecutar código remoto utilizando la función de búsqueda JNDI insegura proporcionada por la biblioteca de registros log4j.. Esta característica vulnerable estaba habilitada de forma predeterminada en muchas versiones de la biblioteca..Los expertos de Google escriben.

Esta vulnerabilidad se ha apoderado del ecosistema de seguridad de la información desde su divulgación en diciembre 10 debido a su gravedad e impacto generalizado. Como herramienta de registro popular, log4j es utilizado por decenas de miles de paquetes de software (conocidos como artefactos en el ecosistema Java) y proyectos en la industria del software.

Los investigadores señalan que generalmente después del descubrimiento de la siguiente vulnerabilidad, resulta que afecta sólo a aproximadamente 2% del contenido de Maven Central. Sin embargo, el 35,000 paquetes vulnerables a Log4Shell es aproximadamente 8% de todo el contenido de Maven Central, y los expertos señalan que el porcentaje es «enorme.»

Actualmente, 4620 desarrolladores fuera de 35,863 paquetes (13% del número total de paquetes vulnerables) ya han actualizado sus productos. Para comparacion, los investigadores citan estadísticas similares para vulnerabilidades pasadas de Java, cuando sobre 48% de bibliotecas recibieron parches.

Esta estadística es mayor que cualquier otra estadística., lo que refleja los enormes esfuerzos de los desarrolladores de software de código abierto, Equipos de ciberseguridad y consumidores de todo el mundo.. los analistas dicen.

Pobre de mí, Los expertos escriben que es poco probable que el problema de Log4Shell se solucione por completo en los próximos años.. La principal dificultad es que Log4j no siempre es una dependencia directa y, a menudo, depende de otra dependencia.. En tales situaciones, Los desarrolladores de paquetes vulnerables tienen que esperar a que otros desarrolladores actualicen sus aplicaciones., que en algunos casos puede tardar semanas o incluso meses.

Por ejemplo, según las estadísticas recopiladas por Google, Log4j es una dependencia directa solo para 7000 fuera de 35000 paquetes, lo que significa que lo más probable es que muchos desarrolladores tengan que desactivar las dependencias indirectas que no han sido actualizadas para utilizar alternativas seguras..

Log4j amenaza los paquetes Java

Permítanme recordarles que también informamos que Los expertos ya están solucionando ataques a la vulnerabilidad Log4Shell.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *