Özgür yazılım bugün her yerde mevcuttur, ancak kurumsal Java uygulamalarını etkileyen Log4j kusuru, modern yazılımın karmaşık tedarik zincirinde neyin yanlış gidebileceğinin bir hatırlatıcısıdır.
Log4j (Log4Shell olarak da bilinir) kusuruyla ilgili sorun, yalnızca yöneticilerin 10 üzerinden 10 “kritik” bir puan alan bu kusuru düzeltmesi gerektiği değildir. Asıl zorluk, Kullanıcıların bir hata olup olmadığını bilememeleri gerçeğinde yatmaktadır. ürün veya sistem, bileşenin güvenlik açığından etkilenir.
Google hesapladı yaklaşık 17.000 Java paketi Maven Central deposunda – en büyük Java paketi deposu – doğrudan veya geçişli bir bağımlılık olarak savunmasız log4j-core kitaplığını içeriyordu.
Ve şimdi güvenlik şirketi JFrog, bağımlılık taraması tarafından algılanamayacak olan Log4j güvenlik açığını içeren ek paketleri, yani yapıtın kendisinde savunmasız Log4j kodunu içeren paketleri belirleyerek daha fazlasını buldu.
Genel olarak, Log4j kodunu doğrudan eserlere dahil etmenin, Log4j’yi bağımlılıklar yoluyla kullanmak kadar yaygın olmadığını buldu. Ancak, bu hala doğrudan Log4j kodunu içeren ve bu paketleri Log4j’nin güvenlik açıklarına maruz bırakan yüzlerce paketi (yaklaşık 400) temsil ediyor.
“Durumların yarısından fazlasında (~% 65), Log4j kodu, tam Log4j .jar dosyalarının dahil edilmesinin aksine, doğrudan sınıflar (yani doğrudan dahil etme / gölgeleme) olarak dahil edilir, tipik olarak geri kalanında nasıl gösterilir Bu rakamlar, Log4j’nin doğrudan dahil edildiği çoğu durumda yalnızca tam .jar dosyalarını arayan araçların kaçıracağını gösteriyor “dedi.
Bu hata bize hatırlatıyor neden Microsoft ve google yatırım günümüz internet altyapısının omurgasını oluşturan açık kaynak kodlu yazılım projelerinin güvenliğini güçlendirmeye yönelik projelerde. Önceki araştırmalar gösteriyor ki, yazılım güvenlik açıklarının büyük çoğunluğu yazılım kitaplıklarında veya bağımlılıklarında bulunur.
Hatanın ciddiyeti, yöneticilerin Log4j kodunu içerebilecek herhangi bir Java uygulamasını inceleme konusunda kazanılmış bir çıkarları olduğu anlamına gelir. Microsoft’un sahip olduğu Güvenlik açığı bulunan Windows ve Linux sistemlerini tespit etmek için piyasaya sürülen tarama araçları, savunmasız uygulamalar ve cihazlar ve JFrog ek bir seçenek sunar.
JFrog, analizinin yazılım kitaplığının bir sürümünün varlığını algılamaktan ziyade tamamlayıcı kodu hedeflediğini vurgular.
“Bağımlılıkların tam listesini ayrıştırmanın, dahil edilen Log4j kodunun örneklerini kaçırmasının nedeni, bağımlılıkların yalnızca mevcut yapıyı oluşturmak veya çalıştırmak için gereken harici paketleri belirtmesidir. Savunmasız kod doğrudan kod tabanına eklenirse, Bu nedenle, savunmasız Log4j kodunun daha doğru tespiti için kodun kendisini incelememiz gerekiyor “, bir blog gönderisinde şirketi belirtir.
Bu araştırma, günümüz bilgisayar sistemlerinin yazılım tedarik zincirini hedef alan saldırılara karşı savunmasızlığını vurgulamaktadır.
Önemi Java programlama dili hafife alınmamalıdır. Dünyada en çok kullanılan dillerden biri olmaya devam ediyor ve işletmeler için referans dili. Ekosistemi aşağıdaki gibi projeleri içerir: Microsoft’un OpenJDK uygulaması. Microsoft java kullanır Azure, SQL Server, Yammer, Minecraft ve LinkedIn’de.
Kaynak: “ZDNet.com”