Les ramifications de Log4Shell ne vont pas jusqu’à la planète Mars (update)
L’éditeur Sonatype fournit des chiffres qui montrent l’énorme popularité de la bibliothèque open source Log4j, dont le code contient la faille ultra critique Log4Shell. La rapport donne aussi une idée de la vitesse d'application des correctifs.
Gérant principal de Maven Central Repository, un référentiel pour les projets de développement open source exploitant Java, l'éditeur Sonatype est bien placé pour évaluer la menace que représente la faille zero-day Log4Shell. D’un niveau critique maximal de 10 sur 10, cette vulnérabilité découverte tout récemment touche l'utilitaire Java de journalisation open source Log4j.
Les chiffres de Sonatype donnent une idée de l’énorme popularité de Log4j. Rien que dans Maven Central, la bibliothèque a été téléchargée 28,6 millions de fois en quatre mois (entre début août et fin novembre 2021). Toutes versions confondues, Log4j se classe parmi les bibliothèques les plus populaires en lien avec les projets Java. L'utilitaire fait office de dépendance dans près de 7’000 autres projets open source. C'est un élément de code si commun qu'il est même intégré à l'hélicoptère Ingenuity en mission sur la planète Mars, est-il précisé dans l’article de Sonatype (update: la NASA a démenti cette information basée sur un tweet erroné de la fondation Apache). En outre, le bout de code vérolé a été copié-collé dans 783 autres projets, se retrouvant dans plus de 19’562 composants distincts.
Beaucoup de versions vulnérables encore installées
Les équipes d’Apache ont mis au point dans l’urgence une mise à jour de la librairie compromise, la version Log4j 2.15.0. Selon l’analyse de Sonatype, cette dernière a été massivement installée (plus de 633’000 téléchargements sur Maven Central en l’espace de trois jours). Deux tiers des bibliothèques installées restent toutefois des versions vulnérables. Depuis cette analyse, une nouvelle version de Log4j a été publiée, la 2.16.0. Selon les explications des équipes d’Apache sur leur page dédiée à la vulnérabilité, le correctif apporté avec Log4j 2.15.0 était en effet incomplet dans d’autres configurations que celles par défaut.
Sonatype avait récemment publié un rapport mettant en évidence la complexité de la gestion des dépendances open source au sein des applications d'entreprise.
