Quatre millions de téléchargements d’une version vulnérable de Log4j en quatre semaines, ce qui représente quarante pour cent de tous les téléchargements de Log4j. On peut faire mieux.
Il y a un mois, une grave vulnérabilité dans Log4j, un outil open source populaire pour générer des journaux pour les applications construites sur Java, a été révélée. Sous le nom de Log4Shell, des centaines de milliers d’organisations ont subi un réveil brutal. Des pirates parrainés par des États ont exploité cette vulnérabilité et même le ministère belge de la Défense a été touché par une attaque Log4Shell.
Après plusieurs mises à jour, Log4j est désormais sûr, mais la vulnérabilité reste une cible populaire pour les pirates. On pourrait penser qu’avec un problème aussi grave que celui de Log4Shell, les développeurs seraient méfiants, mais selon The Register, quatre millions de versions vulnérables de Log4j ont encore été téléchargées après l’annonce de la fuite. Ce nombre représentait 40 % de tous les téléchargements de Log4j.
Sonatype, qui gère l’Apache Maven Central Repository, s’inquiète du nombre considérable de téléchargements. Ilkka Turunen, directeur technique de Sonatype : « On ne sait pas si les téléchargements concernent des logiciels anciens ou des versions de test, mais il est clair que de nombreux utilisateurs continuent à télécharger d’anciennes versions. Ils ne savent peut-être même pas que la version est ancienne et, dans ce cas, très dangereuse. »
Une bonne nouvelle aussi
Sonatype souligne toutefois que le week-end dernier, de nombreux utilisateurs (42 %) ont spécifiquement téléchargé la dernière version, Log4j version 2.17 et 2.17.1. Toutes les vulnérabilités ont été éliminées à partir des versions 2.15 et 2.16 de Log4j. Cela montre que les utilisateurs ne se contentent pas de télécharger la version corrigée, mais bien la dernière. Espérons que cette tendance se poursuivra, car la vulnérabilité de Log4j est très critique.
Espérons qu’à ce jour, vous avez déjà examiné tous vos projets Java pour vérifier la présence de Log4j et de la vulnérabilité associée. Si vous ne l’avez pas encore fait, nous vous recommandons de suivre notre guide immédiatement.