Dalış Özeti:
- Apache Log4j kütüphanesindeki kritik bir sıfır gün güvenlik açığının tarihsel olarak açığa çıkmasından iki yıl sonra, kuruluşların hasarı kontrol altına almak için yarıştığı bir rapora göre, yaklaşık 5 uygulamadan 2’si hala güvenlik açığı bulunan sürümleri kullanıyor. Perşembe günü Veracode’dan yayınlanan rapor.
- Rapor, uygulamaların neredeyse üçte birinin Log4j2 1.2.x sürümünü çalıştırdığını ve bunun Ağustos 2015’te kullanım ömrünün sonuna ulaştığını ve artık yama güncellemelerini almadığını ortaya çıkardı. Uygulamaların diğer %2,8’i ise hâlâ gerçek Log4Shell güvenlik açığına karşı savunmasız olan sürümleri kullanıyor.
- Veracode, uygulamaların %3,8’inin Log4Shell’e karşı yamalı olan Log4j2 2.17.0’ı kullandığını tespit etti; CVE-2021-44832başka bir yüksek önem derecesine sahip, uzaktan kod yürütme güvenlik açığı.
Dalış Bilgisi:
Rapor, yazılım geliştirmeyle ilgili güvenlik uygulamalarında reform yapmak için uzun yıllar süren bir çabayı ve açık kaynak kullanımının ek çalışma gerektireceğini gösteriyor.
Veracode baş araştırma sorumlusu Chris Eng, e-posta yoluyla şunları söyledi: “Geliştiricilerin kendi uygulamaları için almaları gereken bir sorumluluk düzeyi var ve açık kaynak yazılım güvenliği söz konusu olduğunda kesinlikle iyileştirmeye yer var.”
Eng’e göre pek çok geliştirici, güvenlik açığı krizine başlangıçta 2.17.0 sürümünü yüklemek için güvenlik yükseltmelerini düzgün bir şekilde kullanarak tepki gösterdi, ancak daha sonra 2.17.1 sürümünden sonra yama uygulamayarak eski formuna geri döndü.
ASF Güvenlik Yanıt ekibinin bir sözcüsü, “Log4j, Apache Yazılım Vakfı çatısı altındaki projelerde uzun süredir güvenlik açığı olmayan bir sürüme yükseltildi ve bu, daha geniş aktif açık kaynak ekosistemi için de büyük ölçüde geçerli” dedi. “Gecikmeden yüksek önem derecesine sahip bir CVE yayınlamak gibi tüm uygun kanallar aracılığıyla yükseltmenin aciliyeti konusunda alt projelere aktif olarak bildirimde bulunduk.”
Araştırmacılar, 15 Ağustos ile 15 Kasım arasındaki 90 günlük süre boyunca 38.000’den fazla uygulamanın yazılım taramalarından elde edilen verileri analiz etti. Uygulamalar, 3.866 farklı kuruluşta Log4j’nin 1.1 ila 3.0.0 alfa 1 sürümlerini çalıştırıyordu.
Ancak bulgular tamamen şaşırtıcı değil. Federal’den 2022 raporu Siber Güvenlik İnceleme Kurulu Log4j krizinin tamamen çözülmesinin yıllar alacağı konusunda uyardı.