Divulguées récemment, les vulnérabilités log4j ont touché plus de 8% du plus important dépôt de paquets Java, le dépôt central Maven. Sans surprise, cela a eu un impact substantiel sur l’industrie logicielle. Qu’est-ce que la faille Apache log4j et comment affecte-t-elle le secteur ? C’est ce que nous allons tenter de vous expliquer dans la suite.
Vulnérabilités log4j : c’est quoi ?
Les vulnérabilités en question permettent à un cyberattaquant d’exécuter du code à distance. Comment ? En exploitant une fonctionnalité de recherche JNDI non sécurisée, activée par défaut dans plusieurs versions de la bibliothèque de logging log4j. Divulguée le 9 décembre dernier, cette vulnérabilité ne laisse personne indifférent dans l’écosystème de la sécurité de l’information. Vous l’aurez compris, il s’agit là d’une vulnérabilité particulièrement grave et ayant un impact étendu. Pour ne rien arranger, log4j est un outil de logging populaire, utilisé par des dizaines de milliers de progiciels et de projets dans l’industrie du logiciel, dont Amazon, Cisco, IBM, McAfee, cPanel, Docker… De plus, les correctifs se sont avérés difficiles, au même titre que la détermination du rayon d’action de la vulnérabilité. En cause : le manque de visibilité des utilisateurs sur leurs dépendances. A ce jour, on sait que les artefacts Java disponibles dans Maven Central qui se sont révélés dépendants du code log4j affecté sont au nombre de 35 863. Cela représente plus de 8% des paquets sur Maven Central.
Correction de l’écosystème JVM open source : état des lieux
On considère qu’un artefact est corrigé à partir du moment où il a au moins une version affectée et a publié une version stable supérieure, non affectée de toute évidence. Autrement dit, on considère un artefact affecté comme étant corrigé s’il a été mis à jour (version 2.17.0), ou alors s’il a complètement supprimé sa dépendance à log4j. Selon ces standards, on estime qu’environ 5 000 artefacts ont été corrigés avec succès, au prix d’un effort considérable de la part des mainteneurs de log4j et de la communauté des consommateurs de logiciels open source plus globalement. Mais il reste tout de même plus de 30 000 artefacts affectés, dépendant transitivement d’autres artefacts à corriger.
A quand la correction de la vulnérabilité dans l’ensemble de l’écosystème Java ?
A ce stade, personne n’est en mesure de répondre à cette question. On sait toutefois que la correction de la vulnérabilité sur l’ensemble de l’écosystème Java ne sera pas pour tout de suite. En fait, on sera peut-être obligés d’attendre des années. C’est en tout cas ce que laisse penser un examen de l’historique de la rapidité de correction d’autres vulnérabilités sur les paquets Maven : moins de 48% des artefacts affectés ont été corrigés. Malgré cela, l’optimisme est de rigueur, au vu des efforts colossaux déployés par les mainteneurs de logiciels open source et des équipes de cybersécurité, sans oublier les consommateurs de logiciels libres aux quatre coins du monde, qui ont déjà réussi à corriger 4 620 artefacts affectés (13%).