去年底揭露Log4j漏洞,由於於該漏洞幾乎無處不在、影響廣泛而備受關注,但有一情況值得關注,那就是Log4j的下載狀況,根據資安業者Sonatype公布的下載追蹤資料,當中顯示最近4個月來,臺灣下載舊版Log4j的比例持續高達8成,遠高於澳洲、中國、印度、美國、日本與俄羅斯。

Log4Shell漏洞在去年底揭露及修補後,當時,我們就看到Sonatype提供的Log4j下載狀態儀表板上,指出臺灣是全球下載有漏洞Log4j版本比例最高的地區,一度高達85.06%。隨著該漏洞揭露及修補已經過了4個月,我們再來檢視相關變化,但狀況仍然沒有顯著改善。


(圖片擷取時間:2022年5月8日)

根據Sonatype公司公布的Log4j下載追蹤資料,自去年12月10日以來,Log4j已被下載了超過5,000萬次,其次有38%下載到了有漏洞的舊版本。以5月7日來看,過去24小時內從Maven Central套件庫下載Log4j版本將近15萬次,其中有37%仍然存在Log4Shell漏洞。

值得關注的是,在Sonatype提供的Log4j下載狀態儀表板,當中特別提供下載國別的分析,但臺灣下載舊版Log4j的比例,從2021年底至今以來,竟然仍都持續超過80%,而其他國家的舊版下載率,例如澳洲、中國、印度、美國、日本、與俄羅斯等,大約在30%到50%左右,顯然臺灣下載到舊版Log4j的比例,遠遠高出這些國家。在此當中,以澳洲改善最為顯著,由去年底的40%減少到20%。

熱門新聞

Advertisement