Google a créé OSS-Fuzz pour rechercher spécifiquement les vulnérabilités dans Log4j. De cette manière, le géant de l’internet espère aider les organisations à détecter la vulnérabilité dans les projets open source.
Le bogue Log4Shell dans Log4j est un problème de sécurité aux proportions étonnantes. La vulnérabilité, qui permet aux attaquants d’exécuter du code à distance, n’est pas limitée à un seul logiciel. Log4j est une bibliothèque utilisée dans des milliers d’applications dans le monde entier. Il n’est donc pas toujours facile de découvrir si un logiciel est vulnérable ou non.
Google veut aider. Désormais, OSS-Fuzz recherchera activement les vulnérabilités dans Log4j. OSS-Fuzz est un ‘fuzzer’ : un outil qui envoie des données semi-aléatoires à des programmes pour tenter de détecter des bogues. OSS-Fuzz essaiera désormais spécifiquement d’injecter du code qui abuse de Log4j.
Détection proactive
OSS-Fuzz est utilisé par plus de 500 projets open source pour sécuriser le code en cours de développement. Selon Google, l’outil a trouvé plus de 7 000 vulnérabilités depuis sa création. Cette solution devrait théoriquement garantir que les projets open source populaires ne soient pas accidentellement vulnérables à Log4Shell à l’avenir.
Jazzer, un moteur de fuzzing open source qui fait partie d’OSS-Fuzz, sera également amélioré afin de détecter de manière proactive des vulnérabilités telles que Log4Shell à l’avenir. Pour ce faire, Google a collaboré avec les spécialistes de la sécurité de Code Intelligence.