ستستغرق معالجة خلل Log4j سنوات كاملة

أكثر من 80٪ من حزم Java المتأثرة بالثغرة الأمنية في مكتبة Apache Log4j لا يمكن تحديثها مباشرة وستتطلب التنسيق بين فرق المشروع المختلفة لمعالجة الخلل.

بعد وقت قصير من ظهور الثغرة الأمنية الأولى في مكتبة Apache Log4j (CVE-2021-44228) تم الكشف عنها ، فريق Google Open Source Insights مسح جميع حزم Java في ملف مستودع مافن المركزي "لتحديد نطاق المشكلة في النظام الإيكولوجي مفتوح المصدر للغات المستندة إلى JVM ، وتتبع الجهود الجارية للتخفيف من الحزم المتأثرة" ، كما يقول أعضاء الفريق جيمس ويتر ونيكي رينجلاند. يقدر الفريق أن الأمر قد يستغرق سنوات قبل معالجة الثغرة الأمنية بالكامل في نظام جافا البيئي.

يتعلق جزء كبير من المشكلة بالتبعية غير المباشرة. التبعيات المباشرة ، أو الحالات التي تسحب فيها الحزمة Log4j بشكل صريح إلى الكود ، تكون سهلة نسبيًا لإصلاحها ، حيث يتعين على المطور أو مالك المشروع فقط تحديث Log4j إلى أحدث إصدار.

تسحب العديد من الحزم بعض المكتبات الأخرى التي تستدعي Log4j ، وهي تبعية غير مباشرة. في هذه الحالة ، يتعين على مالك الحزمة انتظار مشرف تلك المكتبة لتحديث Log4j في كود المكتبة وإصدار نسخة محدثة ، والتي سيتم استخدامها بعد ذلك لتحديث الحزمة.

لاحظ ويتير ورينجلاند أنه "كلما كانت الثغرة أعمق في سلسلة التبعية ، كلما تطلب الأمر المزيد من الخطوات لإصلاحها".

مع ما يقرب من 440,000 حزمة Java ، يعد Maven Central أكبر وأهم مستودع حزم لتطبيقات Java ، حيث يوفر تقييمًا دقيقًا للنظام البيئي ، كما يقول Wetter و Ringland. وجد الفريق 35,863 حزمة Java تستخدم إصدارات ضعيفة من Log4j (log4j-core و log4j-api) ، أو ما يقرب من 8٪ من حزم Java في Maven Central. عندما أعاد الفريق إجراء الفحص للنظر في الحزم التي تستخدم log4j-core فقط ، تم العثور على أكثر من 17,000 حزمة متأثرة ، أو ما يقرب من 4٪ من النظام البيئي.

ضع في اعتبارك أنه كلما تم العثور على ثغرة أمنية كبيرة في Java ، فإنه يؤثر عادةً على 2٪ فقط من الحزم على Maven Central. يقول ويتر ورينجلاند إن التأثير الذي سيحدثه عيب Log4j على نظام جافا البيئي "هائل".

تم بالفعل إصلاح الآلاف من الحزم - "استجابة سريعة وجهد هائل من قبل كل من صيانة log4j والمجتمع الأوسع للمستهلكين مفتوحين المصدر" ، لاحظ Wetter و Ringland.

المصدر: https://www.darkreading.com/tech-trends/the-log4j-flaw-will-take-years-to-be-fully-addressed

ذكاء البيانات التوليدية

سيستغرق الخلل Log4j سنوات حتى تتم معالجته بالكامل

البحرية البريطانية تشتري ست سفن مع دخولها "العصر الذهبي" لبناء السفن

لوائح العملات المشفرة لصناديق الاستثمار المشتركة المقترحة في كندا لعام 2024

أحدث المعلومات الاستخباراتية

يرى الاستطلاع أن التحذيرات الصحية لإعلانات المقامرة غير كافية

4 نقاط اتصال تكنولوجية في كندا يجب أن تعرفها شركتك

من شأن مشروع قانون مجلس النواب أن يمنع تقاعد طائرات F-22، ويستمر في شراء طائرات F-15EX التابعة للقوات الجوية

تستهدف لجنة مجلس النواب حجم البحرية والقدرات الجديدة في فاتورة الدفاع

علامات قد يكون طفلك يستخدم الماريجوانا

يقول المشرعون إن القوة الفضائية يجب أن تفكر في مواقع إطلاق بديلة