Podcast-Folge · The GitHub Podcast · 21.10.2025 · 31 Min.

In this episode of the GitHub Podcast, Abby sits down with Felix Reda, Director of Developer Policy at GitHub, and Christian Grobmeier, a longtime Log4J maintainer, to reflect on the aftermath of the ...

In this episode of the GitHub Podcast, Abby sits down with Felix Reda, Director of Developer Policy at GitHub, and Christian Grobmeier, a longtime Log4J maintainer, to reflect on the aftermath of the…

The Lazarus Group was found targeting the Log4Shell vulnerability (CVE-2021-44228) in a new series of attacks named “Operation Blacksmith.” According to a new advisory published by Cisco Talos security researchers, the attacks leveraged the Log4Shell flaw in publicly facing VMWare Horizon servers for initial access. This campaign consists of continued opportunistic targeting of enterprises around The Lazarus Group was found targeting the Log4Shell vulnerability (CVE-2021-44228) in a new series of attacks named “Operation Blacksmith.”

Sonatypeによると、今年人気のJavaロギングライブラリであるLog4jは数千万回ダウンロードされたが、その多くが4年前に初めて明らかになったCVSSスコア10.0の脆弱性に対して依然として脆弱な状態だったという。 同セキュリティベンダーは、2025年におけるLog4jのダウンロードの13%が依然としてLog4Shellに対して脆弱であり、オープンソースエコシステムにおける持続的なリスクの課題を示していると主張した。 「一方には、上流で決してパッチが当てられない“未修正リスク”があります。もう一方には、修正は存在するにもかかわらず、利用者が移行しないために広がり続ける“腐食性リスク”があります」と同社は説明した。 「Log4jの脆弱性と、その横で広く利用されているcommonsパッケージ群は、大規模な腐食性リスクの典型例となっています。」 SonatypeはMaven Centralのダウンロードデータを分析し、今年の3億件のLog4jダウンロードのうち4,000万件がバグを含んでいたことを明らかにした。 開発者人口が多い国の中では、インド（29%）、中国（28%）、日本（22%）がいずれもLog4Shellを含むダウンロードの大きな割合を記録した。米国（9%）、ブラジル（8%）、フランス（8%）はそれより良好な結果だったものの、それでも回避可能な脆弱ダウンロードが数百万件に上ったとSonatypeは主張している。 Log4Shellの詳細はこちら：Log4Shellバグの影響は誇張されていたと研究者が指摘 問題はLog4jにとどまらない。Sonatypeは、脆弱なコンポーネントを含むダウンロードのおよそ95%には、より安全なバージョンが存在する一方で、実際に修正が存在しないコンポーネントは約0.5%に過ぎないと述べている。 同社によれば、開発者がこうしたミスを繰り返すのは、設定後に放置される依存関係、推移的依存関係に対する盲点、そして人気を重視してセキュリティ姿勢を軽視するライブラリ選定基準の欠陥が原因だという。 ソフトウェアコンポジション解析（SCA）のようなセキュリティツールは、実行可能な指針を欠いた大量のアラートで開発者を圧倒し、さらに状況を悪化させる可能性がある。一方で、プロダクトマネージャーは依然としてセキュリティよりも市場投入までの時間を優先するようインセンティブ付けされている。 不要なリスクの排除 Sonatypeは、開発者に対し、既知の悪性バージョンのコンポーネントを取得しないよう、次の取り組みを行うよう促している。 SCAツールやアーティファクトリポジトリを活用し、どれだけのダウンロードが脆弱なのか、どのコンポーネントがビルドに含まれているのか（およびそのバージョン）、どのチーム／アプリケーション／事業部門が責任を負っているのかを把握する コンポーネントの選定方法を見直し、セキュリティ実績、積極的なメンテナンス、ガバナンス、透明性を優先する 安全なバージョンへのアップグレード用プルリクエストを自動化し、非破壊的なアップグレードを定期的にまとめて実施し、社内リポジトリで安全なバージョンへのオートコンプリートを行い、既知の脆弱バージョンを取得しようとした際には自動的にアラートを出す アーティファクトリポジトリやCI/CDパイプラインにガードレールを設け、修正が存在する既知の脆弱バージョンのダウンロード／利用をブロックする 「不要なリスク率」「修正採用までの時間」「ポリシー有効性」といった新たな指標を採用する 翻訳元:

tis the fucking season aint it Add that personal touch to any Christmas tree thanks to these custom Christmas ornaments. Equipped with a magnetic back, so you can decorate your fridge or any metal sur...

In December 2021, the cybersecurity community was alerted to four critical vulnerabilities in the Log4j library, collectively known as Log4Shell. These vulnerabilities were promptly addressed with patches. However, it has since come to light that additional vulnerabilities, specifically a denial of service (DoS) and a data leak, were not widely recognized at the time. It wasn't until September 2022 that the vendor officially acknowledged these vulnerabilities, classifying them as part of the initial four bugs. Consequently, no specific patches or new Common Vulnerabilities and Exposures (CVE) identifiers were assigned to these additional issues. This revelation has significant implications for the cybersecurity landscape. Log4j is a ubiquitous logging library used in numerous Java applications, making its vulnerabilities a widespread concern. The initial Log4Shell vulnerabilities were critical due to their potential for remote code execution (RCE), but the overlooked DoS and data leak vulnerabilities are also substantial threats. DoS attacks can disrupt services, while data leaks can expose sensitive information, both of which can have severe operational and reputational impacts. The vendor's delayed acknowledgment and the lack of new CVEs or patches for these vulnerabilities raise concerns about the thoroughness of initial vulnerability assessments. It underscores the necessity for organizations to conduct comprehensive security evaluations rather than relying solely on vendor-provided patches. Moreover, the absence of new CVEs means that these vulnerabilities might not be adequately tracked or mitigated in vulnerability databases, potentially leaving systems exposed to these risks. From an expert perspective, this situation highlights the importance of continuous monitoring and updating of software components. Cybersecurity professionals must remain vigilant and proactive in identifying and mitigating vulnerabilities, even those not immediately recognized or patched by vendors. It also emphasizes the need for robust vulnerability management processes that include thorough testing and verification beyond initial vendor patches. In conclusion, the discovery of overlooked vulnerabilities in Log4j serves as a critical reminder of the complexities involved in vulnerability management. It calls for a more rigorous approach to identifying and addressing security issues, ensuring that all potential vulnerabilities are accounted for and mitigated effectively.