На повне усунення вразливості log4shell потрібні роки

19

Після виявлення першої уразливості в бібліотеці apache log4j (cve-2021-44228, більш відома як log4shell) команда google open source insights провела обстеження всіх пакетів java в центральному сховищі maven з метою «визначення масштабу проблеми в екосистемі jvm з відкритим вихідним кодом». За оцінками дослідників, можуть пройти роки, перш ніж вразливість буде повністю усунена в екосистемі java.

Більше 80% пакетів java, яких торкнулася уразливість в log4j, не можуть бути оновлені безпосередньо, і для її усунення потрібна координація між різними проектними групами. Значна частина проблеми пов’язана з непрямими (непрямими) залежностями. Прямі залежності або випадки, коли пакет явно інтегрує log4j, відносно легко виправити, оскільки розробник або власник проекту просто повинен оновити log4j до останньої версії.

Більше 80% пакетів java в репозиторії maven central repository мають log4j як непряму залежність, при цьому більшість з них мають вразливу версію на глибині до п’яти рівнів. Багато пакетів використовують сторонні бібліотеки, які звертаються до log4j. У цьому випадку власник пакета повинен чекати, поки супроводжуючий цієї бібліотеки оновить log4j і випустить свіжу версію.

Якщо ви помітили помилку — виділіть її мишею і натисніть ctrl+enter. / можете написати краще? ми завжди раді авторам.