Log4Shell漏洞揭露後,全球下載到舊版Log4j的情形,臺灣的比例遠高於多國。根據在Sonatype提供的Log4j下載狀態儀表板,當中資訊顯示,自去年12月10日以來,Log4j已被下載了超過5,000萬次,其次有38%下載到了有漏洞的舊版本,臺灣在這段期間,則是有8成下載到有漏洞的舊版本
文/羅正漢 | 2022-05-08發表
去年底揭露Log4j漏洞,由於於該漏洞幾乎無處不在、影響廣泛而備受關注,但有一情況值得關注,那就是Log4j的下載狀況,根據資安業者Sonatype公布的下載追蹤資料,當中顯示最近4個月來,臺灣下載舊版Log4j的比例持續高達8成,遠高於澳洲、中國、印度、美國、日本與俄羅斯。
Log4Shell漏洞在去年底揭露及修補後,當時,我們就看到Sonatype提供的Log4j下載狀態儀表板上,指出臺灣是全球下載有漏洞Log4j版本比例最高的地區,一度高達85.06%。隨著該漏洞揭露及修補已經過了4個月,我們再來檢視相關變化,但狀況仍然沒有顯著改善。
(圖片擷取時間:2022年5月8日)
根據Sonatype公司公布的Log4j下載追蹤資料,自去年12月10日以來,Log4j已被下載了超過5,000萬次,其次有38%下載到了有漏洞的舊版本。以5月7日來看,過去24小時內從Maven Central套件庫下載Log4j版本將近15萬次,其中有37%仍然存在Log4Shell漏洞。
值得關注的是,在Sonatype提供的Log4j下載狀態儀表板,當中特別提供下載國別的分析,但臺灣下載舊版Log4j的比例,從2021年底至今以來,竟然仍都持續超過80%,而其他國家的舊版下載率,例如澳洲、中國、印度、美國、日本、與俄羅斯等,大約在30%到50%左右,顯然臺灣下載到舊版Log4j的比例,遠遠高出這些國家。在此當中,以澳洲改善最為顯著,由去年底的40%減少到20%。
圖文來源:iThome https://www.ithome.com.tw/tech/150814
