Vier miljoen downloads van een zwakke versie van Log4j in vier weken, dat is 40 procent van alle Log4j-downloads. Het kan veel beter.
Een maand geleden werd een ernstige kwetsbaarheid blootgelegd in Log4j, een populaire open source-tool voor het maken van logs voor op Java gebaseerde applicaties. Onder de naam Log4Shell zijn honderdduizenden organisaties brutaal wakker geschud. Door de staat gesteunde hackers hebben de kwetsbaarheid overgenomen en zelfs het Belgische Ministerie van Defensie is aangevallen door Log4Shell.
Na een groot aantal updates is Log4j nu veilig, maar de kwetsbaarheid is nog steeds een veelvoorkomend doelwit voor hackers. Je zou kunnen denken dat met zo’n serieus probleem als Log4Shell-ontwikkelaars op hun hoede zouden zijn, maar volgens dossier Er werden nog vier miljoen exemplaren van Log4j gedownload nadat het lek was aangekondigd. Dit aantal vertegenwoordigt 40 procent van alle Log4j-downloads.
Sonatype, de beheerder van de centrale Apache Maven-repository, maakt zich zorgen over het enorme aantal downloads. Ilkka Turunen, Head of Technology bij Sonatype: “Het is niet duidelijk of de downloads oude software of bètaversies zijn, maar het is duidelijk dat veel gebruikers oude versies blijven downloaden. Ze weten misschien niet eens dat de versie verouderd is en erg gevaarlijk in deze zaak.”
Gelukkig is er ook goed nieuws
Sonatype bevestigt dat afgelopen weekend veel gebruikers (42 procent) de nieuwste versie, Log4j versies 2.17 en 2.17.1, hebben gedownload. Alle kwetsbaarheden zijn verwijderd uit Log4j versie 2.15, 2.16 en later. Dit laat zien dat gebruikers niet alleen de gepatchte versie downloaden, maar ook daadwerkelijk de nieuwste versie downloaden. We hopen dat deze trend zich voortzet omdat de kwetsbaarheid binnen Log4j erg kritiek is.
Hopelijk heb je inmiddels al je Java-projecten al gecontroleerd op de aanwezigheid van Log4j en de bijbehorende kwetsbaarheid. Voor degenen die dat nog niet hebben gedaan, raden we u aan onze gids meteen te volgen.
Lees ook
Wat is Log4Shell en waarom is de fout zo ernstig?
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”