Após a descoberta da primeira vulnerabilidade na biblioteca Apache Log4j (CVE-2021-44228, mais conhecida como Log4Shell), a equipe do Google Open Source Insights pesquisou todos os pacotes Java no repositório Maven central para “determinar o escopo do problema no ecossistema JVM de código aberto. ” Os pesquisadores estimam que pode levar anos até que uma vulnerabilidade seja totalmente resolvida no ecossistema Java.
Mais de 80% dos pacotes Java afetados pela vulnerabilidade Log4j não podem ser atualizados diretamente e exigirão coordenação entre diferentes equipes de projeto para corrigi-lo. Uma grande parte do problema está relacionada a dependências indiretas (indiretas). Dependências diretas ou casos em que o pacote integra explicitamente o Log4j são relativamente fáceis de corrigir, pois o desenvolvedor ou proprietário do projeto simplesmente precisa atualizar o Log4j para a versão mais recente.
Mais de 80% dos pacotes Java no Repositório Central Maven têm Log4j como uma dependência indireta, com a maioria deles tendo uma versão vulnerável de até cinco níveis de profundidade. Muitos pacotes usam bibliotecas de terceiros vinculadas ao Log4j. Nesse caso, o proprietário do pacote deve esperar que o mantenedor desta biblioteca atualize o Log4j e libere uma nova versão.
Este mês, as autoridades americanas voltaram a apelar aos seus aliados asiáticos para que reforcem…
A Goodram retomou a produção de módulos de memória DDR4 de 4 GB, que complementarão…
O estúdio britânico Maverick Games, liderado pelo ex-diretor criativo de Forza Horizon, Mike Brown, realizou…
Especialistas em cibersegurança da Unit 42 da Palo Alto Networks descobriram cinco habilidades do agente…
O backdoor autodestrutivo Mistic, também conhecido como MLTBackdoor, que vem sendo usado em ataques cibernéticos…
O Observatório Espacial Europeu Euclid, projetado para estudar matéria escura e energia escura, provou inesperadamente…