據Securityaffairs網站消息，谷歌開源團隊掃描了Maven Central Java軟件包庫，發現35863個軟件包使用的Apache Log4j庫版本易受Log4Shell漏洞和CVE-2021-45046 RCE攻擊。

[[441614]]

據了解，受影響的Java包數量占Maven中央存儲庫(最重要的Java包存儲庫)的8%.。谷歌發布報告表示，介于log4j漏洞近來對軟件行業產生了廣泛影響，8%的比例對整個行業生態的影響依然巨大。

谷歌專家使用了Open Source Insights(一個用于確定開源依賴項的項目)來評估Maven 中央存儲庫中所有的所有軟件版本。專家指出，受影響的直接依賴項軟件包大約有7000個，大多數受影響的為間接依賴項。

漏洞在依賴關系鏈中的位置越深，修復它需要的步驟就越多。下圖顯示了受影響的log4j包(核心或api)首次出現在消費者依賴關系圖中的深度柱狀圖，對于超過80%的軟件包來說，漏洞的深度超過了一級，大多數受影響的程度為五級(有些甚至多達九級)，對這些軟件包進行修復，需從最深的依賴關系開始。

自Log4j漏洞披露以來，所有受其影響的軟件包中已有13%被修復，那要在整個軟件生態系統中修復此漏洞需要多長時間?專家認為，盡管最近幾天行業內急于修復log4j，但整個過程可能需要數年時間。

谷歌表示，他們鼓勵開源社區繼續加強這些軟件包的安全性，啟用自動依賴更新并添加安全緩解措施。

參考來源：https://securityaffairs.co/wordpress/125845/security/log4j-java-packages-flaws.html