Google laat OSS-Fuzz specifiek naar kwetsbaarheden in Log4j zoeken. Zo hoopt de internetreus om organisaties te helpen de kwetsbaarheid te detecteren in opensource-projecten.
De Log4Shell-bug in Log4j is een beveiligingsprobleem van ongeziene grote. Het lek, dat aanvallers code laat uitvoeren vanop afstand, is immers niet beperkt tot één stuk software. Log4j is een bibliotheek die in duizenden toepassingen wereldwijd wordt gebruikt. Het is daarom niet altijd even eenvoudig om te ontdekken of een stuk software kwetsbaar is of niet.
Google wil daarbij nu een handje helpen. OSS-Fuzz zal voortaan actief opzoek gaan naar kwetsbaarheden in Log4j. OSS-Fuzz is een zogenaamde fuzzer: een tool die semi-random data naar programma’s schiet in een poging om zo bugs te detecteren. OSS-Fuzz zal nu specifiek code proberen te injecteren die Log4j misbruikt.
Proactieve detectie
OSS-Fuzz wordt door meer dan 500 opensource-projecten gebruikt om code in ontwikkeling veilig te houden. Volgens Google heeft de tool sinds zijn ontstaan al meer dan 7.000 kwetsbaarheden gevonden. De oplossing moet er in theorie voor zorgen dat populaire opensource-projecten in de toekomst niet per ongeluk kwetsbaar zijn voor Log4Shell.
lees ook
Wat is Log4Shell en waarom is de bug zo gevaarlijk?
Jazzer, een opensource fuzzing-engine die deel uitmaakt van OSS-Fuzz, zal bovendien beter in staat zijn om kwetsbaarheden zoals Log4Shell proactief te detecteren in de toekomst. Daarvoor werkte Google samen met de beveiligingsspecialisten van Code Intelligence.