Apache Log4j kitaplığındaki güvenlik açığından etkilenen Java paketlerinin %80’inden fazlası doğrudan güncellenemez ve açığı gidermek için farklı proje ekipleri arasında koordinasyon gerektirir.
Apache Log4j kitaplığındaki ilk güvenlik açığından kısa bir süre sonra (CVE-2021-44228) ifşa edildi, Google’ın Açık Kaynak Analizleri Ekibi içindeki tüm Java paketlerini araştırdı. Maven Merkez Deposu Ekip üyeleri James Wetter ve Nicky Ringland, “JVM tabanlı dillerin açık kaynak ekosistemindeki sorunun kapsamını belirlemek ve etkilenen paketleri azaltmak için devam eden çabaları izlemek” diyor. Ekip, güvenlik açığının Java ekosisteminde tamamen ele alınmasının yıllar alabileceğini tahmin ediyor.
Sorunun önemli bir kısmı dolaylı bağımlılıklarla ilgilidir. Doğrudan bağımlılıklar veya paketin açıkça log4j’yi koda çektiği durumlar, geliştirici veya proje sahibinin log4j’yi en son sürüme güncellemesi gerektiğinden, düzeltilmesi nispeten kolaydır.
Birçok paket, dolaylı bir bağımlılık olan log4j’yi çağıran başka bir kitaplığı çeker. Bu durumda, paket sahibi, o kitaplığın koruyucusunun kitaplık kodundaki log4j’yi güncellemesini ve daha sonra paketi güncellemek için kullanılacak olan güncellenmiş bir sürümü yayınlamasını beklemek zorundadır.
Wetter ve Ringland, “Bir bağımlılık zincirindeki güvenlik açığı ne kadar derinse, düzeltilmesi için o kadar fazla adım gerekir” diyor.
Yaklaşık 440.000 Java paketi ile Maven Central, Java uygulamaları için en büyük ve en önemli paket deposudur ve Wetter ve Ringland, ekosistemin doğru bir değerlendirmesini sağlar. Ekip, Maven Central’da log4j’nin savunmasız sürümlerini (log4j-core ve log4j-api) kullanan 35.863 Java paketi veya Java paketlerinin yaklaşık %8’ini buldu. Ekip, yalnızca log4j-core kullanan paketlere bakmak için taramayı yeniden çalıştırdığında, etkilenen 17.000’den fazla paket veya ekosistemin kabaca %4’ü bulundu.
Ne zaman büyük bir Java güvenlik açığı bulunsa, bunun Maven Central’daki paketlerin yalnızca %2’sini etkilediğini düşünün. Wetter ve Ringland, Log4j kusurunun Java ekosistemi üzerindeki etkisinin “muazzam” olduğunu söylüyor.
Wetter ve Ringland, “hem log4j sahipleri hem de daha geniş açık kaynak tüketicileri topluluğu tarafından hızlı yanıt ve muazzam bir çaba” olan binlerce paket zaten düzeltildi.
