Total des téléchargements depuis le 10 décembre
Taux le plus récent de téléchargements vulnérables
Total des téléchargements depuis le 10 décembre
Taux le plus récent de téléchargements vulnérables
1/6/22:
On Tuesday we saw a huge jump in consumption of 2.17.0 followed yesterday by a similar jump in 2.17.1. It's hard to explain this since .1 has been out for well over a week at this point. Why was everyone suddenly grabbing the .0 when .1 was available?
Taiwan and China are still consuming a massive amount of known vulnerable versions, and as can be seen on the bottom left graph, this has been fairly consistent since the start.
--Brian
1/6/22:
On Tuesday we saw a huge jump in consumption of 2.17.0 followed yesterday by a similar jump in 2.17.1. It's hard to explain this since .1 has been out for well over a week at this point. Why was everyone suddenly grabbing the .0 when .1 was available?
Taiwan and China are still consuming a massive amount of known vulnerable versions, and as can be seen on the bottom left graph, this has been fairly consistent since the start.
--Brian
Ne pas résoudre les problèmes Log4shell entraîne des conséquences plus sérieuses que des temps d'arrêt et une atteinte à la réputation. Les régulateurs américains envisagent des poursuites judiciaires pour renforcer la sécurité.
Les entreprises doivent connaître Log4j non seulement dans le logiciel qu'elles produisent, mais aussi dans celui qu'elles utilisent. Un logiciel développé en Java est très susceptible de contenir Log4j quelque part dans sa suite.
Les experts Java et de l'Apache Software Foundation de Sonatype font une nouvelle fois le point sur l'évolution de l'exploit Log4j et sur le nombre de variantes identifiées. Ils présentent également les nouvelles tendances en matière de téléchargements Log4j.
Produisez une software bill of materials et cataloguez tous les composants de votre application.
Identifiez et corrigez les problèmes critiques de sécurité, de performance, de fiabilité et de style dans le code de vos développeurs.
Détectez les vulnérabilités divulguées publiquement et contenues dans les dépendances de votre projet.
CVE original de log4j qui a tout déclenché et qui affecte les versions 2.x de « org.apache.logging.log4j.log4j-core » uniquement : <2.15.0 impactées.
Variante moins sévère de CVE-2021-44228 affectant log4j 1.x uniquement et toutes les versions d'un groupe/artefact différent : « log4j:log4j » ; non applicable à « log4j-core » (il s'agit de versions 2.x).
CVE original de log4j qui a tout déclenché et qui affecte les versions 2.x de « org.apache.logging.log4j.log4j-core » uniquement : <2.15.0 impactées.
Variante moins sévère de CVE-2021-44228 affectant log4j 1.x uniquement et toutes les versions d'un groupe/artefact différent : « log4j:log4j » ; non applicable à « log4j-core » (il s'agit de versions 2.x).
Vulnérabilité DoS qui affecte les version log4j-core 2.15.0 et antérieures, mais pas 2.16.0.
Similaire à CVE-2021-4104, mais affecte « logback-classic », et « logback-core », car logback est basé sur log4j 1.x. L'identifiant Sonatype est basé sur : https://jira.qos.ch/browse/LOGBACK-1591
Vulnérabilité DoS qui affecte les version log4j-core 2.15.0 et antérieures, mais pas 2.16.0.
Similaire à CVE-2021-4104, mais affecte « logback-classic », et « logback-core », car logback est basé sur log4j 1.x. L'identifiant Sonatype est basé sur : https://jira.qos.ch/browse/LOGBACK-1591
S'applique aux versions 2.x de log4j jusqu'à et y compris 2.15.0. La version corrigée à utiliser est la 2.16.0. Vulnérabilité basée sur le blog de Praetorian. Ce communiqué résume d'autres éléments. Actuellement en procédure accélérée car la divulgation complète est en cours avec Apache. De plus amples informations seront publiées en temps utile.
S'applique aux versions 2.x de log4j jusqu'à et y compris 2.15.0. La version corrigée à utiliser est la 2.16.0. Vulnérabilité basée sur le blog de Praetorian. Ce communiqué résume d'autres éléments. Actuellement en procédure accélérée car la divulgation complète est en cours avec Apache. De plus amples informations seront publiées en temps utile.
Envie d'essayer Sonatype ?
Sécurisez et automatisez votre chaîne logistique logicielle.
Sonatype Headquarters - 8161 Maple Lawn Blvd #250, Fulton, MD 20759
Tysons Office - 8281 Greensboro Drive – Suite 630, McLean, VA 22102
Australia Office - 60 Martin Place Level 1, Sydney, NSW 2000, Australia
London Office -168 Shoreditch High Street, E1 6HU London
Copyright © 2008-présent, Sonatype Inc. Tous droits réservés. Inclut les codes de tiers listés ici. Sonatype et Sonatype Nexus sont des marques déposées de Sonatype, Inc. Apache Maven et Maven sont des marques déposées d'Apache Software Foundation. M2Eclipse est une marque déposée d'Eclipse Foundation. Toutes les autres marques déposées sont la propriété de leur détenteur respectif.
Conditions de service Politique de confidentialité Déclaration sur l'esclavage moderne Event Terms and Conditions Do Not Sell My Personal Information