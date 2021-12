Google a déclaré que depuis que cette vulnérabilité a été divulguée le 9 décembre, l’écosystème de la sécurité de l’information en a été captivé car cette question est à la fois grave et a un impact généralisé.

Google: Le géant de la technologie Google a déclaré que plus de 35 000 packages Java ont été affectés par des vulnérabilités récemment révélées avec des retombées généralisées dans l’industrie du logiciel. Les packages Java concernés représentent plus de 8% du référentiel Maven Central, qui est le référentiel le plus important de packages Java. Selon le géant des moteurs de recherche, des milliers de tentatives sont faites par les cybercriminels pour exploiter une autre vulnérabilité impliquant « Apache log4j 2 », le système de journalisation Java.

Google a déclaré que depuis que cette vulnérabilité a été divulguée le 9 décembre, l’écosystème de la sécurité de l’information en a été captivé car cette question est à la fois grave et a un impact généralisé.

Pourquoi l’affaire est-elle grave ?

Google a déclaré dans un communiqué que log4j est un outil de journalisation populaire et est utilisé par « des dizaines de milliers de progiciels », appelés artefacts dans l’écosystème Java, ainsi que de nombreux projets dans l’industrie du logiciel.

L’application de correctifs a été rendue difficile en raison du manque de visibilité des utilisateurs sur leurs dépendances ainsi que sur les dépendances transitives. Pour cette raison, il est également devenu difficile de déterminer le « rayon de la vulnérabilité » complet.

Google a découvert que 35 863 artefacts Java du référentiel Maven Central dépendaient du code log4j impacté au 16 décembre. Cela se traduit par plus de 8 % de tous les packages sur Maven Central ayant au moins une version affectée par ce problème de sécurité.

Jusqu’à présent, environ 5 000 artefacts ont été corrigés, ce qui laisse plus de 30 000 à corriger.

Dans le même temps, Apache a publié la version 2.17.0 de Log4j, qui est venue après avoir trouvé des problèmes dans la version précédente. La version précédente était sortie la semaine dernière.

