​​Уже неделю весь мир Java разработки стоит на ушах из-за найд | xpinjection

​​Уже неделю весь мир Java разработки стоит на ушах из-за найденной уязвимости в Log4j. Она настолько проста и элегантна, что даже удивительно увидеть ее только в конце 2021 года. Под удар попало очень много энтерпрайз организаций, так как большая часть из них имеет легаси компоненты и сервисы в своей инфраструктуре.

Детали данной уязвимости можно легко найти интернете. Я же поделюсь несколькими интересными выводами из случившегося:

Больше всего досталось тем, кто предпочитал оставаться на Java 8, утверждая что «ничего особо крутого в Java 11 не появилось, а Java 8 работает и нас устраивает». А эта дыра на уровне JVM была закрыта как класс с версии 11.0.1. :) В Java 8 эти изменения также были портированы, но кому интересны эти скучные минорные патчи…

Нашёлся другой класс людей-оптимистов, утверждающих что их это точно не коснулось, ведь они либо не используют log4j для логирования либо запускают свои сервисы на Java 11+. И они совершенно упустили из виду многочисленные компоненты middleware, запущенные в их инфраструктуре и работающие на Java в режиме чёрного ящика. Поэтому уязвимость зацепила гораздо больший фронт компаний.

Странно видеть, что при всем многообразии современных инструментов безопасности многие компании до сих пор не автоматизировали анализ используемых в инфраструктуре компонентов и постоянный процесс накатывания секьюрити патчей. Это бы помогло большинству избежать проблем с минимальными рисками для работоспособности приложений и сервисов. Верно говорят, что бюджеты на безопасность появляются только после реального удара по этой самой безопасности. :)

Всем хороших выходных и безопасных окружений!

#Java #безопасность