Depuis Log4Shell, les développeurs ont téléchargé une version vulnérable de Log4j quatre millions de fois de plus

Quatre millions de téléchargements d’une version vulnérable de Log4j en quatre semaines, représentant 40 % de tous les téléchargements de Log4j. Cela pourrait être beaucoup mieux.

Il y a un mois Une vulnérabilité sérieuse a été révélée dans Log4j, un outil open source populaire pour générer des journaux pour les applications basées sur Java. Sous le nom de Log4Shell des centaines de milliers d’organisations ont été brutalement réveillées. Les pirates parrainés par l’État a embrassé la vulnérabilité et même le Le ministère belge de la Défense a été touché pour une attaque Log4Shell.

Après un tout séries par mises à jour Log4j est-il sûr aujourd’hui, mais la vulnérabilité reste un cible populaire pour les pirates. On pourrait penser qu’avec un problème aussi grave que les développeurs de Log4Shell se méfieraient, mais selon Le registre Quatre millions de versions plus vulnérables de Log4j ont été téléchargées après l’annonce de la fuite. Ce nombre représentait 40 % de tous les téléchargements de Log4j.

Sonatype, administrateur du référentiel central Apache Maven, s’inquiète du grand nombre de téléchargements. Ilkka Turunen, CTO de Sonatype : « Il n’est pas clair si les téléchargements concernent des logiciels hérités ou des versions de test, mais il est clair que de nombreux utilisateurs continuent de télécharger d’anciennes versions. Ils ne savent peut-être même pas que la version est ancienne et très dangereuse dans ce cas. »

Heureusement, il y a aussi de bonnes nouvelles

Sonatype souligne que le week-end dernier, de nombreux utilisateurs (42 %) ont spécifiquement téléchargé la dernière version, Log4j versions 2.17 et 2.17.1. Toutes les vulnérabilités ont été éliminées à partir des versions 2.15 et 2.16 de Log4j. Cela montre que les utilisateurs ne téléchargent pas seulement la version corrigée, mais en fait la dernière. Espérons que cette tendance se poursuivra car la vulnérabilité de Log4j est très critique.

Espérons que vous avez déjà examiné tous vos projets Java pour détecter la présence de Log4j et la vulnérabilité associée. Si vous ne l’avez pas encore fait, nous vous recommandons de immédiatement suivez notre guide.

lire aussi

Qu’est-ce que Log4Shell et pourquoi le bogue est-il si dangereux ?

Previous

Les communications vocales de nouvelle génération sur le réseau LMT sont également disponibles pour les utilisateurs de smartphones Apple

Un fermier cherche le message d’amour de sa femme Heidi – courtisé par un nouveau fermier

Next

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.