Интернет |
На полное устранение уязвимости Log4Shell потребуются годы
32
После обнаружения первой уязвимости в библиотеке Apache Log4j (CVE-2021-44228, более известна как Log4Shell) команда Google Open Source Insights провела обследование всех пакетов Java в центральном репозитории Maven с целью «определения масштаба проблемы в экосистеме JVM с открытым исходным кодом». По оценкам исследователей, могут пройти годы, прежде чем уязвимость будет полностью устранена в экосистеме Java. Более 80% пакетов Java, которых коснулась уязвимость в Log4j, не могут быть обновлены напрямую, и для её устранения потребуется координация между различными проектными группами. Значительная часть проблемы связана с непрямыми (косвенными) зависимостями. Прямые зависимости или случаи, когда пакет явно интегрирует Log4j, относительно легко исправить, поскольку разработчик или владелец проекта просто должен обновить Log4j до последней версии.