本記事はサイバー・セキュリティに関するニュースを集めた情報サイト
「IoT OT Security News」に掲載されている情報から
セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2021/12/20 SecurityWeek — コンピュータ・セキュリティ業界は、Log4j のセキュリティ問題が散見される、長くて険しい道のりに気を引き締めている。専門家たちは、ソフトウェアの依存関係にパッチを当てる作業が上手くいかないと、世界的な緩和策が遅れてしまうと警告している。今週に、Google のオープンソース・チームが、Maven Central にある 35,863個のJava パッケージが、欠陥のある Log4j ライブラリ。バージョンを使用していると報告したことで、この危機の規模と影響が明らかになった。(編集部注:Maven Centralは最大かつ最重要な Java パッケージ・リポジトリ)
Google の Open Source Insights Team の研究者である、James Wetter と Nicky Ringland のメモは、「Maven Central に存在する全パッケージの 8% 以上が、この脆弱性の影響を受けるバージョンを、少なくとも1つは含んでいることを意味する。エコシステムへの影響を考えると、8% は極めて大きな数値だ。Maven Central に影響を与えるアドバイザリの、平均的なエコシステムへの影響は 2% であり、中央値は 0.1% 未満となる」と説明している。
この脆弱性 CVE-2021-44228 は、今年の11月24日に Alibaba のクラウド・セキュリティ・チームにより発見/報告された。
・・・
|
https://iototsecnews.jp/2021/12/20/google-finds-35863-java-packages-using-defective-log4j/
|
欧米やアジアのサイバー・セキュリティに関するニュースを集めた情報サイト
日々世界中のセキュリティ系サイトで発信される情報を和訳し記事化しています。