Suport technique et veille technologique

LinuxFr.org : les journaux  -  log4shell : Et après ?

 -  Décembre 2021 - 

Alors que pour beaucoup, nous bossons sur la correction de la CVE concernant log4j en mode pompiers, je me suis demandé quelles seront les conséquences à moyen terme de cette faille.

1- Rappelons la CVE: log4j <2.16 a un énorme trou de sécurité, facile à mitiger
2- log4j est utilisé dans presque tous les projets java
3- log4j est maintenu par 4 honorable personnes contributrices
4- Cela est arrivé lors de la période de fin d'année où les personnes sont en vacances ou sont fatiguées

La difficulté est ici le périmètre d'action de log4j : Ce module maven est présent quasiment partout, chez presque tous les logiciels java, il sera quasiment impossible de tout scanner.Après l'armée Belge , il est envisageable de penser que d'autres entités se feront pirater.

L'open source en question ?
Délivré sous license apache, log4j est opensource, et donc il est simple pour un projet java de l'utiliser. Hors , en cas de failles, on ne peux compter que sur le courage de quelques contributeurs, mettant ainsi ,pour certains, un gros plan sur un problème : quid du support et des correctifs dans les projets open source: les contributeurs aurait très bien pu s'epargner des nuits sans sommeil et laisser tel quel , la mitigation étant donné.
Je vois plutôt ce problème comme une faille chez les éditeurs, je me demande encore pourquoi peu d'éditeurs ont fournit de la main d'œuvre pour corriger la faille. Concernant les logiciels très utilisé sous linux, je pense à eclipse, dbeaver et mindustry

https://hitechglitz.com/france/ce-que-log4shell-nous-apprend-sur-la-securite-open-source/

Maven en question ?
Maven est un moyen de construire les projets java. En simplifiant, il prends un fichier pom, un fiichier de setting, un fichier source et construit le projet, en téléchargent les modules présent dans le fichier pom depuis maven-central (entre autre) et en les mettant dans un repertoire m2 .
Ce fichier pom peux donc faire appel à toutes les libraires maven , y compris log4j troué.
Nexus a recemment trouvé que 40% des projets maven utilisent eencore un log4j troué, sans doute des projets abandonné , comme l'ont pu l'être ssh-ganymede par le passé.
Faut il que maven-central fasse le ménage dans ses projets au risque de se voir remplacé ? Et encore, je ne suis pas sûr qu'en utilisant pip en remplacement, cela donne un résultat différent
https://www.globenewswire.com/news-release/2021/12/22/2357089/0/en/Critical-Log4j-Vulnerability-Still-Being-Downloaded-40-of-the-Time-Sonatype-Research-Reveals-in-New-Resource-Center.html

**
l'omniprésence de java en question ?**
Le problème de log4shell est son prérimètre, toutes les applis java peuvent avoir un log4j dans ses classes. Nombreuses entités ont tout misé sur java , et même la politique d'oracle ne les ont pas arrêtés, car ils ont migré vers de l'openjdk (openjdk distro, zulu adopt etc…)

à moyen terme, verrons nous plus d'entreprises contribué à l'open source, ou cesser l'utilisation de l'open source ?
Verrons nous une moindre utilisation de java ? la fin des libraires partagées ?

Commentaires : voir le flux Atom ouvrir dans le navigateur

par Cheumole