Het is inmiddels twee jaar geleden dat een kritieke kwetsbaarheid in de populaire open source Apache Log4j 2-library voor wereldwijde aandacht zorgde. Twee jaar verder blijkt dat bijna veertig procent van de Log4j-applicaties een kwetsbare versie van de library gebruikt. Dat stelt securitybedrijf Veracode op basis van eigen onderzoek.
Log4j 2 is een tool voor het loggen van informatie van Java-applicaties. Zo kunnen ontwikkelaars, door de library aan hun Java-applicatie toe te voegen, bijvoorbeeld problemen met de applicatie ontdekken. Een kwetsbaarheid zorgde ervoor dat wanneer de library een bepaalde string logt een aanvaller willekeurige code kan uitvoeren en zo controle over de applicatieserver kan krijgen.
De kwetsbaarheid, aangeduid als CVE-2021-44228 en Log4Shell, zorgde vanwege de impact en het wijdverbreide gebruik van de software voor zorgen over grootschalig misbruik. Zo vreesde het ministerie van Volksgezondheid voor grote uitval in de zorgsector door het Log4j-lek. De omvang van het daadwerkelijke misbruik bleek later mee te vallen. Toch liet Log4Shell het risico van third-party code binnen applicaties zien en hoe belangrijk het is dat softwareontwikkelaars dergelijke componenten up-to-date houden.
Veracode analyseerde meer dan 38.000 applicaties die van Log4j gebruikmaken. Bijna drie procent blijkt een versie te gebruiken waarin het oorspronkelijk Log4Shell-lek in aanwezig is. Verder draait bijna vier procent van de onderzochte applicaties Log4j2 versie 2.17.0. Deze versie bevat een beveiligingslek dat remote code execution mogelijk maakt. Tevens blijkt 32 procent van de applicaties gebruik te maken van Log4j2 versie 1.2.x. Deze versie is sinds augustus 2015 end-of-life en ontvangt geen updates meer. In deze versie zijn echter meerdere kritieke kwetsbaarheden gevonden die nog altijd ongepatcht zijn.
"Het grotere verhaal op de tweede verjaardag is dat er nog steeds ruimte voor verbetering is wanneer het aankomt op de security van opensourcesoftware. Als Log4Shell weer een voorbeeld was van een lange reeks wake-up calls om strengere open source security practices toe te passen, laat het feit dat één op de drie applicaties een kwetsbare versie van Log4j draait dat er nog veel meer werk is te doen", aldus Veracode.
Deze posting is gelocked. Reageren is niet meer mogelijk.