image

Apache teleurgesteld over grote aantal gebruikers oude Log4j-versie

woensdag 2 februari 2022, 12:00 door Redactie, 7 reacties
Laatst bijgewerkt: 02-02-2022, 12:32

De Apache Software Foundation is teleurgesteld over het grote aantal gebruikers van Log4j 1, de eerste versie van de inmiddels wereldwijd bekende loggingsoftware die sinds augustus 2015 niet meer wordt ondersteund. Gebruikers werden opgeroepen om te upgraden naar Log4j 2. Desondanks wordt Log4j 1 nog veel gebruikt.

"Het is teleurstellend om te zien hoeveel gebruikers nog steeds op Log4j 1.x zitten. Het leidt af van de reactie op de Log4j 2.x-problemen", zegt Christian Grobmeier van Apache Software Foundation en onderdeel van het Log4j-team tegenover The Record. Ondanks het gebruik van deze versie heeft alle aandacht voor de kwetsbaarheden in Log4j 2 er wel voor gezorgd dat mensen nu meer aandacht besteden aan hun dependencies en de libraries die ze dagelijks gebruiken, aldus Grobmeier.

Hij is het er niet mee eens dat de Log4j-kwetsbaarheid door sommige mensen als het ergste beveiligingslek ooit wordt genoemd. "Er zijn aardig wat grote beveiligingsproblemen in de industrie geweest." Ook vindt Grobmeier dat de kwetsbaarheid in Log4j 2, die op een schaal van 1 tot en met 10 met een 10 werd beoordeeld, geen "eenvoudige" kwetsbaarheid is en wel zou zijn gevonden wanneer het Log4j-team over meer financiële middelen beschikte.

Een ander veel gehoord kritiekpunt was dat Log4j door een klein aantal mensen wordt onderhouden. Op de vraag of meer "ogen" hadden meegeholpen bij het vinden van meer kwetsbaarheden antwoordt Grobmeier dat meer geld geen magische oplossing is voor het vinden van alle beveiligingsproblemen. Wel staat het Apache-team open voor beveiligingsexperts die willen meezoeken naar kwetsbaarheden in Log4j en andere projecten.

Reacties (7)
02-02-2022, 12:11 door Anoniem
Op de vraag of meer "ogen" hadden meegeholpen bij het vinden van meer kwetsbaarheden antwoordt Grobmeier dat meer geld geen magische oplossing is voor het vinden van alle beveiligingsproblemen.
De vraag was niet "meer geld". De vraag was "meer ogen".

Ik denk dat wat er hier ontbroken heeft een nuchtere ontwerper is die inziet wat de consequenties van keuzes zijn.
Het lijkt er op dat er features zijn ingebouwd die sommige mensen wel een leuk idee vonden maar waarbij het ontbrak
aan iemand die kon zeggen "hee ben je nou helemaal gek geworden! DAT gaan we niet doen!".
De kans daarop is wellicht groter in losse opensource teams dan als het ergens bij een bedrijf ontwikkeld wordt waar
nog vergaderd wordt en iemand zit die de beslissingen kan nemen zonder dat er een sfeer van ruzie ontstaat.
02-02-2022, 12:24 door _R0N_
Ook vindt Grobmeier dat de kwetsbaarheid in Log4j 2, die op een schaal van 1 tot en met 10 met een 10 werd beoordeeld, een "eenvoudige" kwetsbaarheid is en zou zijn gevonden wanneer het Log4j-team over meer financiële middelen beschikte.

Exact het probleem van Open Source. Zonder geld en mensen kan software niet onderhouden worden. In het geval van de ontwikkelaars van Log4j (2 man op een zolderkamer) hadden die een baan moeten krijgen bij Google en niet verbonden moeten zijn aan de Apache foundation.

Op de vraag of meer "ogen" hadden meegeholpen bij het vinden van meer kwetsbaarheden antwoordt Grobmeier dat meer geld geen magische oplossing is voor het vinden van alle beveiligingsproblemen.

Tja..
02-02-2022, 19:45 door Anoniem
Door _R0N_:
Ook vindt Grobmeier dat de kwetsbaarheid in Log4j 2, die op een schaal van 1 tot en met 10 met een 10 werd beoordeeld, een "eenvoudige" kwetsbaarheid is en zou zijn gevonden wanneer het Log4j-team over meer financiële middelen beschikte.

Exact het probleem van Open Source. Zonder geld en mensen kan software niet onderhouden worden. In het geval van de ontwikkelaars van Log4j (2 man op een zolderkamer) hadden die een baan moeten krijgen bij Google en niet verbonden moeten zijn aan de Apache foundation.

Op de vraag of meer "ogen" hadden meegeholpen bij het vinden van meer kwetsbaarheden antwoordt Grobmeier dat meer geld geen magische oplossing is voor het vinden van alle beveiligingsproblemen.

Tja..
Ho kom je daar nu bij? Het is je al eerder verteld. Verdiep je eens in wat open source betekent of houd je mond.
Open source is alleen maar een licentie die afdwingt dat de code vrij te verkrijgen is, te copieren, te bestuderen etc.
Dat staat net als bij closed source helemaal los van financiën.
03-02-2022, 08:54 door Bitje-scheef
Door _R0N_:
Ook vindt Grobmeier dat de kwetsbaarheid in Log4j 2, die op een schaal van 1 tot en met 10 met een 10 werd beoordeeld, een "eenvoudige" kwetsbaarheid is en zou zijn gevonden wanneer het Log4j-team over meer financiële middelen beschikte.

Exact het probleem van Open Source. Zonder geld en mensen kan software niet onderhouden worden. In het geval van de ontwikkelaars van Log4j (2 man op een zolderkamer) hadden die een baan moeten krijgen bij Google en niet verbonden moeten zijn aan de Apache foundation.

Op de vraag of meer "ogen" hadden meegeholpen bij het vinden van meer kwetsbaarheden antwoordt Grobmeier dat meer geld geen magische oplossing is voor het vinden van alle beveiligingsproblemen.

Tja..

Vergeet niet dat dit soort vulnerability issues ook kunnen ontstaan na updates van andere software. Het is meestal geen statisch proces.
03-02-2022, 09:18 door S.A.T.A.N.
De Apache Software Foundation is teleurgesteld over het grote aantal gebruikers van Log4j 1, de eerste versie van de inmiddels wereldwijd bekende loggingsoftware die sinds augustus 2015 niet meer wordt ondersteund. Gebruikers werden opgeroepen om te upgraden naar Log4j 2. Desondanks wordt Log4j 1 nog veel gebruikt.

Amateurisme ten top om te denken dat software geen onderhoud nodig heeft, dat je niet regelmatig zaken moet controleren en bijwerken, dat je waarschuwingen in de wind kan slaan. Dit is nalatigheid en bij problemen waarvan de klanten van dergelijke gebruikers de dupe worden is er de vraag van aansprakelijkheid.
03-02-2022, 13:57 door Anoniem
Door Toine J.:
De Apache Software Foundation is teleurgesteld over het grote aantal gebruikers van Log4j 1, de eerste versie van de inmiddels wereldwijd bekende loggingsoftware die sinds augustus 2015 niet meer wordt ondersteund. Gebruikers werden opgeroepen om te upgraden naar Log4j 2. Desondanks wordt Log4j 1 nog veel gebruikt.

Amateurisme ten top om te denken dat software geen onderhoud nodig heeft, dat je niet regelmatig zaken moet controleren en bijwerken, dat je waarschuwingen in de wind kan slaan. Dit is nalatigheid en bij problemen waarvan de klanten van dergelijke gebruikers de dupe worden is er de vraag van aansprakelijkheid.
Lees als grote voorbeeld de Microsoft euler. Geen aansprakelijkheid anders mag je de software niet gebruiken
03-02-2022, 17:06 door karma4
Door _R0N_: Exact het probleem van Open Source. Zonder geld en mensen kan software niet onderhouden worden. In het geval van de ontwikkelaars van Log4j (2 man op een zolderkamer) hadden die een baan moeten krijgen bij Google en niet verbonden moeten zijn aan de Apache foundation.
... Tja..
Het hergebruik in commerciële software is duidelijk. laat dan daar het geld vandaan komen. Open hoeft niet te betekenen dat er niet or betaald hoeft te worden. Dat het gratis en voor niets (free beer) als etiket er aan hangt is ene probleem.
Een wettelijk verplichting tegen niet behoorlijk betalen van de bron tegen te gaan is an de aan de orde.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.