Beheer

Security
download

Oude, onveilige Log4j-versies nog miljoenen keren gedownload

Na uitkomen kritieke patches toch nog miljoenen downloads van kwetsbare Log4j-versies.

© CC0 - Pixabay MIH83
11 januari 2022

Na uitkomen kritieke patches toch nog miljoenen downloads van kwetsbare Log4j-versies.

Loggingtool Log4j is na het bekend worden van kritieke kwetsbaarheden daarin nog zeker 4 miljoen keer gedownload, in achterhaalde en dus kwetsbare versies. Mogelijk gaat het om testdoeleinden, maar de 4 miljoen downloads sinds begin december vormen ruim 40 procent van het totale aantal downloads.

Het aantal van 4 miljoen downloads betreft de centrale Maven-repository van opensourcestichting Apache, waar Log4j onder valt. Maven is een tool voor projectmanagement en geautomatiseerde software-builds. Uit de centrale repo voor deze ontwikkelsoftware zijn sinds 10 december, de dag dat de eerste kwetsbaarheid in Log4j is geopenbaard, in totaal meer dan 10 miljoen downloads gedaan van de loggingtool in kwestie.

Afhankelijkheden

Deze getallen zijn afkomstig van Sonatype, het bedrijf dat de Central Repository voor Apache Maven runt, meldt The Register. Maven omvat ook mogelijkheden voor het beheren van afhankelijkheden (dependancies) in code, zoals gebruik van libraries en tools van derden. De ernst van de kwetsbaarheden in Log4j is flink vergroot door het feit dat die loggingsoftware dienst doet in vele software- en hardwareproducten van diverse partijen en leveranciers.

De door Sonatype opgemerkte downloads van kwetsbare Log4j-versies zijn níet de snel achterhaald geraakte releases van december. In die maand zijn achtereenvolgens nieuwe fouten in de Java-tool ontdekt, en daarmee aanvalsmogelijkheden op die software en systemen die het gebruiken. Een reeks elkaar opvolgende nieuwe releases heeft die ontdekkingen geadresseerd. De downloads waar Sonatype nu melding van maakt, zijn van releases vóór Log4j 2.15. Die versie is de eerste update geweest voor de diverse ontdekte fouten in deze opensourcetool.

Lange staart voor software

Mogelijk gaat het bij die downloads via de centrale repository voor Apache Maven om legacy-software, die een 'bijbehorende' oude Log4j-versie binnenhaalt. Een andere mogelijkheid is dat de downloads voor testdoeleinden van de kwetsbare loggingtool zijn. CTO Ilkka Turunen van Sonatype zegt echter in een toelichting aan The Register dat het waarschijnlijk is dat de downloadende gebruikers zich geheel niet bewust zijn van het feit dat ze een achterhaalde Log4j-versie gebruiken. Hij spreekt van een 'long tail' die van toepassing is op buildprocessen voor software.

1
Reacties
Bop 22 januari 2022 18:58

Niet zo handig dat dit mogelijk is.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.