Meer dan 80% van de Java-pakketten die getroffen zijn door de kwetsbaarheid in de Apache Log4j-bibliotheek kunnen niet rechtstreeks worden bijgewerkt en vereisen coördinatie tussen verschillende projectteams om de fout aan te pakken.
Kort na de eerste kwetsbaarheid in de Apache Log4j-bibliotheek (CVE-2021-44228) werd onthuld, Het Open Source Insights-team van Google heeft alle Java-pakketten in de Maven Centrale Repository “Om de omvang van het probleem in het open source-ecosysteem van op JVM gebaseerde talen te bepalen, en om de voortdurende inspanningen om de getroffen pakketten te verzachten te volgen”, zeggen teamleden James Wetter en Nicky Ringland. Het team schat dat het jaren kan duren voordat de kwetsbaarheid volledig is aangepakt binnen het Java-ecosysteem.
Een aanzienlijk deel van het probleem heeft te maken met indirecte afhankelijkheden. Directe afhankelijkheden, of de gevallen waarin het pakket Log4j expliciet in de code haalt, zijn relatief eenvoudig op te lossen, omdat de ontwikkelaar of projecteigenaar Log4j alleen maar hoeft bij te werken naar de nieuwste versie.
Veel pakketten halen een andere bibliotheek binnen die Log4j aanroept, wat een indirecte afhankelijkheid is. In dat geval moet de pakketeigenaar wachten totdat de beheerder van die bibliotheek Log4j in de bibliotheekcode heeft bijgewerkt en een bijgewerkte versie heeft uitgebracht, die vervolgens zal worden gebruikt om het pakket bij te werken.
“Hoe dieper de kwetsbaarheid in een afhankelijkheidsketen zit, hoe meer stappen er nodig zijn om deze te verhelpen”, merken Wetter en Ringland op.
Met ongeveer 440,000 Java-pakketten is Maven Central de grootste en belangrijkste pakketrepository voor Java-applicaties, die een nauwkeurige beoordeling van het ecosysteem biedt, zeggen Wetter en Ringland. Het team vond 35,863 Java-pakketten die gebruik maakten van kwetsbare versies van Log4j (log4j-core en log4j-api), oftewel ongeveer 8% van de Java-pakketten in Maven Central. Toen het team de scan opnieuw uitvoerde en alleen naar pakketten keek die log4j-core gebruikten, werden meer dan 17,000 getroffen pakketten gevonden, oftewel ongeveer 4% van het ecosysteem.
Houd er rekening mee dat wanneer er een grote beveiligingsfout in Java wordt gevonden, deze doorgaans slechts 2% van de pakketten op Maven Central treft. De impact die de Log4j-fout zal hebben op het Java-ecosysteem is “enorm”, zeggen Wetter en Ringland.
Duizenden pakketten zijn al gerepareerd – “een snelle reactie en gigantische inspanning van zowel de beheerders van log4j als de bredere gemeenschap van open source-consumenten”, merken Wetter en Ringland op.
Bron: https://www.darkreading.com/tech-trends/the-log4j-flaw-will-take-years-to-be-fully-addressed
