Più dell'80% dei pacchetti Java interessati dalla vulnerabilità nella libreria Apache Log4j non può essere aggiornato direttamente e richiederà il coordinamento tra diversi team di progetto per risolvere il difetto.
Poco dopo la prima vulnerabilità nella libreria Apache Log4j (CVE-2021-44228) è stato divulgato, Il team di Insights Open Source di Google ha esaminato tutti i pacchetti Java in Repository centrale di Maven "per determinare la portata del problema nell'ecosistema open source dei linguaggi basati su JVM e per tenere traccia degli sforzi in corso per mitigare i pacchetti interessati", affermano i membri del team James Wetter e Nicky Ringland. Il team stima che potrebbero volerci anni prima che la vulnerabilità venga completamente risolta all'interno dell'ecosistema Java.
Una parte significativa del problema ha a che fare con le dipendenze indirette. Le dipendenze dirette, o i casi in cui il pacchetto estrae in modo esplicito Log4j nel codice, sono relativamente semplici da risolvere, poiché lo sviluppatore o il proprietario del progetto deve semplicemente aggiornare Log4j all'ultima versione.
Molti pacchetti estraggono un'altra libreria che chiama Log4j, che è una dipendenza indiretta. In tal caso, il proprietario del pacchetto deve attendere che il manutentore di quella libreria aggiorni Log4j nel codice della libreria e rilasci una versione aggiornata, che verrà quindi utilizzata per aggiornare il pacchetto.
"Più è profonda la vulnerabilità in una catena di dipendenze, più passaggi sono necessari per risolverla", osservano Wetter e Ringland.
Con circa 440,000 pacchetti Java, Maven Central è il più grande e significativo repository di pacchetti per le applicazioni Java, fornendo una valutazione accurata dell'ecosistema, affermano Wetter e Ringland. Il team ha trovato 35,863 pacchetti Java che utilizzano versioni vulnerabili di Log4j (log4j-core e log4j-api), ovvero circa l'8% dei pacchetti Java in Maven Central. Quando il team ha eseguito nuovamente la scansione per esaminare solo i pacchetti che utilizzano log4j-core, sono stati trovati oltre 17,000 pacchetti interessati, ovvero circa il 4% dell'ecosistema.
Considera che ogni volta che viene rilevato un grave difetto di sicurezza Java, in genere colpisce solo il 2% dei pacchetti su Maven Central. L'impatto che il difetto di Log4j avrà sull'ecosistema Java è "enorme", affermano Wetter e Ringland.
Migliaia di pacchetti sono già stati corretti: "una risposta rapida e uno sforzo mastodontico sia da parte dei manutentori di log4j che dalla più ampia comunità di consumatori open source", osservano Wetter e Ringland.
Fonte: https://www.darkreading.com/tech-trends/the-log4j-flaw-will-take-years-to-be-full-addressed
