idNSA.id - Tim Google Open Source memindai repositori paket Maven Central Java dan menemukan bahwa 35.863 paket (8% dari total) menggunakan versi library Apache Log4j yang rentan terhadap eksploitasi Log4Shell dan CVE-2021-45046 RCE.
“Lebih dari 35.000 paket Java, berjumlah lebih dari 8% dari repositori Maven Central ( repositori paket Java paling signifikan), telah dipengaruhi oleh kerentanan log4j yang baru-baru ini diungkapkan ( 1,2 ), dengan dampak yang meluas di seluruh industri perangkat lunak.” membaca laporan yang diterbitkan oleh Google. “Sejauh dampak ekosistem berjalan, 8% sangat besar.”
Pakar Google menggunakan Open Source Insights , sebuah proyek yang digunakan untuk menentukan dependensi open source, untuk menilai semua versi semua artefak di Maven Central Repository .
Para ahli menunjukkan bahwa dependensi langsung menyumbang sekitar 7.000 paket yang terpengaruh. Sebagian besar artefak yang terpengaruh terkait dengan dependensi tidak langsung.
“Semakin dalam kerentanan dalam rantai ketergantungan, semakin banyak langkah yang diperlukan untuk memperbaikinya. Diagram berikut menunjukkan histogram seberapa dalam paket log4j yang terpengaruh (inti atau api) pertama kali muncul di grafik ketergantungan konsumen.” membaca posting yang diterbitkan oleh para peneliti. “Untuk atau lebih dari 80% paket, kerentanannya lebih dari satu level, dengan mayoritas terpengaruh lima level ke bawah (dan beberapa hingga sembilan level ke bawah). Paket-paket ini akan membutuhkan perbaikan di seluruh bagian pohon, mulai dari dependensi terdalam terlebih dahulu.”
Tetapi sejak kerentanan diungkapkan, 13% dari semua paket rentan telah diperbaiki (4.620).
Berapa lama waktu yang dibutuhkan untuk memperbaiki kerentanan ini di seluruh ekosistem?
Tidak mudah untuk menjawab pertanyaan ini, para ahli menganalisis waktu yang dihabiskan untuk memperbaiki kekurangan yang dilaporkan dalam saran kritis yang memengaruhi paket Maven dan menentukan bahwa hanya 48% artefak yang terpengaruh oleh kerentanan yang telah diperbaiki.
Meskipun terburu-buru dalam memperbaiki Log4J dalam beberapa hari terakhir, proses keseluruhan bisa memakan waktu beberapa tahun.
“Sebagai bagian dari penyelidikan kami, kami mengumpulkan daftar 500 paket yang terpengaruh dengan beberapa penggunaan transitif tertinggi. Jika Anda adalah pengelola atau pengguna yang membantu upaya patching, memprioritaskan paket ini dapat memaksimalkan dampak Anda dan membuka blokir lebih banyak komunitas. Kami mendorong komunitas open source untuk terus memperkuat keamanan dalam paket ini dengan mengaktifkan pembaruan ketergantungan otomatis dan menambahkan mitigasi keamanan .” menyimpulkan Google.
