Patch baru dikeluarkan untuk log4j, Google melihat dampak kerentanan – Keamanan
Technology

Patch baru dikeluarkan untuk log4j, Google melihat dampak kerentanan – Keamanan

Pembaruan log4j versi 2.16.0 yang baru-baru ini dikeluarkan, yang segera dirilis setelah perbaikan 2.15.0 dianggap tidak lengkap, berisi bug penolakan layanan, yang ditemukan oleh pengembang.

“Jika substitusi string dicoba untuk alasan apa pun pada string berikut, itu akan memicu rekursi tak terbatas, dan aplikasi akan mogok: ${${::-${::-$${::-j}}} },” tulis reporter bug tersebut.

Versi baru log4j, 2.17.0 keluar yang menangani kondisi penolakan layanan.

Log4j versi 2.14.0 dan sebelumnya berisi kerentanan eksekusi kode jarak jauh yang mudah dieksploitasi, yang saat ini berada di bawah serangan otomatis.

Dampak ekosistem “sangat besar”

Secara terpisah, Tim Open Source Insights Google memindai repositori Java yang paling penting, Maven Central, dan menemukan bahwa hampir 36.000 atau delapan persen paket di sana memiliki setidaknya satu versi yang dipengaruhi oleh kerentanan log4j.

“Sejauh dampak ekosistem berjalan, delapan persen sangat besar. Dampak ekosistem rata-rata dari nasihat yang mempengaruhi Maven Central adalah dua persen, dengan median kurang dari 0,1 persen,” tulis OSIT.

OSIT menemukan bahwa 35.863 artefak Java yang tersedia di Maven Central bergantung pada kode log4j yang rentan pada 17 Desember.

Hampir 5000 artefak kini telah diperbaiki, tetapi OSIT menganggapnya telah diperbaiki jika telah diperbarui ke 2.16.0 yang rentan terhadap kondisi penolakan layanan.

Memperbaiki kerentanan dipersulit oleh artefak Java tergantung pada log4j secara tidak langsung, kata OSIT.

Lebih dari 80 persen paket rentan lebih dari satu tingkat ke bawah, dengan mayoritas terpengaruh lima tingkat ke bawah.

Kerentanan dapat bersarang sedalam sembilan dependensi di beberapa paket, kata OSIT.

Masalah lain yang membuat perbaikan kerentanan log4j menjadi sulit adalah praktik menentukan persyaratan versi “lunak”, kata OSIT.

Ini adalah versi persis yang digunakan oleh algoritme resolusi ketergantungan, dan seringkali memerlukan tindakan eksplisit oleh pengelola untuk menyebarkan perbaikan.

OSIT mengatakan sulit untuk mengatakan berapa lama waktu yang dibutuhkan untuk memperbaiki kerentanan log4j, dan mungkin perlu waktu bertahun-tahun untuk memperbaikinya.

Namun demikian, OSIT mengatakan bahwa segala sesuatunya tampak menjanjikan di bagian depan log4j, dengan pengelola, tim infosec, dan konsumen melakukan upaya besar-besaran untuk memperbaiki masalah tersebut.

Posted By : pengeluaran hk hari ini 2021