Gesamtzahl der Downloads seit dem 10. Dezember
Aktueller Anteil von Downloads mit Sicherheitslücken
Gesamtzahl der Downloads seit dem 10. Dezember
Aktueller Anteil von Downloads mit Sicherheitslücken
1/6/22:
On Tuesday we saw a huge jump in consumption of 2.17.0 followed yesterday by a similar jump in 2.17.1. It's hard to explain this since .1 has been out for well over a week at this point. Why was everyone suddenly grabbing the .0 when .1 was available?
Taiwan and China are still consuming a massive amount of known vulnerable versions, and as can be seen on the bottom left graph, this has been fairly consistent since the start.
--Brian
1/6/22:
On Tuesday we saw a huge jump in consumption of 2.17.0 followed yesterday by a similar jump in 2.17.1. It's hard to explain this since .1 has been out for well over a week at this point. Why was everyone suddenly grabbing the .0 when .1 was available?
Taiwan and China are still consuming a massive amount of known vulnerable versions, and as can be seen on the bottom left graph, this has been fairly consistent since the start.
--Brian
Eine fehlende Reaktion auf Log4shell-Probleme kann zu mehr als nur Ausfallzeiten oder Reputationsschäden führen. US-amerikanische Aufsichtsbehörden erwägen Klagen zur Durchsetzung der Sicherheit.
Unternehmen müssen auf Log4j achten – nicht nur bei der Software, die sie produzieren, sondern auch bei der Software, die sie nutzen. Jede in Java geschriebene Software enthält wahrscheinlich irgendwo im Stack Log4j.
Die Java- und Apache Software Foundation-Experten von Sonatype geben ein weiteres Update zur Entwicklung der Log4j-Schwachstelle sowie zu den verschiedenen Varianten, die wir verzeichnen, und teilen neue Trends bei Log4j-Downloads.
Erzeugen Sie eine Software Bill of Materials (SBOM) und katalogisieren Sie alle Komponenten in Ihrer Anwendung.
Finden und beheben Sie kritische Probleme bezüglich Sicherheit, Leistung, Zuverlässigkeit und Stilistik im Entwicklercode.
Erkennen Sie öffentlich bekannt gewordene Sicherheitslücken innerhalb der Abhängigkeiten Ihres Projekts
Ursprüngliche log4j-CVE, mit der alles begann. Wirkt sich nur auf die Versionen 2.x von „org.apache.logging.log4j.log4j-core“ aus: <2.15.0 betroffen.
Weniger schwerwiegende Variante von CVE-2021-44228, die sich nur auf log4j 1.x auswirkt.Wirkt sich auf alle Versionen von einer gänzlich anderen Gruppe/Artefakt aus: „log4j:log4j“. Betrifft nicht „log4j-core“ (das sind die Versionen 2.x).
Ursprüngliche log4j-CVE, mit der alles begann. Wirkt sich nur auf die Versionen 2.x von „org.apache.logging.log4j.log4j-core“ aus: <2.15.0 betroffen.
Weniger schwerwiegende Variante von CVE-2021-44228, die sich nur auf log4j 1.x auswirkt.Wirkt sich auf alle Versionen von einer gänzlich anderen Gruppe/Artefakt aus: „log4j:log4j“. Betrifft nicht „log4j-core“ (das sind die Versionen 2.x).
DoS-Schwachstelle, von der log4j-core-Versionen <=2.15.0 betroffen sind, aber nicht 2.16.0.
Ähnlich wie CVE-2021-4104, wirkt sich jedoch auf „logback-classic“ und „logback-core“ aus, da Logback auf log4j 1.x basiert. Die Sonatype-ID basiert auf diesem Thema: https://jira.qos.ch/browse/LOGBACK-1591
DoS-Schwachstelle, von der log4j-core-Versionen <=2.15.0 betroffen sind, aber nicht 2.16.0.
Ähnlich wie CVE-2021-4104, wirkt sich jedoch auf „logback-classic“ und „logback-core“ aus, da Logback auf log4j 1.x basiert. Die Sonatype-ID basiert auf diesem Thema: https://jira.qos.ch/browse/LOGBACK-1591
Betrifft log4j-Versionen 2.x bis einschließlich 2.15.0. Die gefixte Version ist 2.16.0. Die Schwachstelle basiert auf dem Blog von Praetorian. In dieser Nachrichtenmeldung sind weitere Informationen zusammengefasst. Derzeit im Fast-Track-Verfahren, da die vollständige Offenlegung von Apache aussteht. Weitere Einzelheiten werden zu gegebener Zeit bekannt gegeben.
Betrifft log4j-Versionen 2.x bis einschließlich 2.15.0. Die gefixte Version ist 2.16.0. Die Schwachstelle basiert auf dem Blog von Praetorian. In dieser Nachrichtenmeldung sind weitere Informationen zusammengefasst. Derzeit im Fast-Track-Verfahren, da die vollständige Offenlegung von Apache aussteht. Weitere Einzelheiten werden zu gegebener Zeit bekannt gegeben.