После обнаружения первой уязвимости в библиотеке Apache Log4j (CVE-2021-44228, более известна как Log4Shell) команда Google Open Source Insights провела обследование всех пакетов Java в центральном репозитории Maven с целью «определения масштаба проблемы в экосистеме JVM с открытым исходным кодом». По оценкам исследователей, могут пройти годы, прежде чем уязвимость будет полностью устранена в экосистеме Java.

Более 80% пакетов Java, которых коснулась уязвимость в Log4j, не могут быть обновлены напрямую, и для её устранения потребуется координация между различными проектными группами. Значительная часть проблемы связана с непрямыми (косвенными) зависимостями. Прямые зависимости или случаи, когда пакет явно интегрирует Log4j, относительно легко исправить, поскольку разработчик или владелец проекта просто должен обновить Log4j до последней версии.



Более 80% пакетов Java в репозитории Maven Central Repository имеют Log4j в качестве косвенной зависимости, при этом большинство из них имеют уязвимую версию на глубине до пяти уровней. Многие пакеты используют сторонние библиотеки, которые обращаются к Log4j. В этом случае владелец пакета должен дождаться, пока сопровождающий этой библиотеки обновит Log4j и выпустит свежую версию.

Источник

---