Em entrevista divulgada em 20 de outubro de 2025, o desenvolvedor alemão Christian Grobmeier, um dos responsáveis pelo Log4j, revelou detalhes inéditos sobre a descoberta e a correção da vulnerabilidade Log4Shell, considerada a mais grave da história da internet.
O começo de tudo
Segundo Grobmeier, o alerta chegou em um dia frio de novembro, quando pretendia jogar com o filho. “Recebi dez, depois vinte e-mails com o termo remote code execution. Achei que estava na lista errada”, contou. Poucas horas depois, percebeu que o problema afetaria “praticamente todos os aplicativos Java do mundo”.
Como a falha funcionava
O Log4j, biblioteca de registro de eventos com mais de 20 anos, usava a interface JNDI para carregar componentes remotos sem validar a origem das requisições. Bastava inserir uma string maliciosa em qualquer campo que fosse registrado pelo sistema — de nomes de usuário a mensagens no Minecraft — para executar código à distância:
jndi:protocolo://servidor:porta/objeto
Impacto global
Empresas de serviços financeiros, e-commerce e seguradoras dependiam da ferramenta para auditorias, rastreamento de incidentes e monitoramento. Pesquisa da Tidelift (2022) indicou que 49% dos desenvolvedores de código aberto trabalhavam com Java, muitos sem saber que utilizavam o Log4j. A falha expôs bilhões de dispositivos, de servidores de grandes corporações a instâncias de Minecraft.
A pressão sobre os mantenedores
Voluntários, Grobmeier e a equipe passaram dias sem dormir para lançar correções. “Se não resolvêssemos em poucos dias, fecharíamos o projeto”, afirmou. Cada patch revelava novos pontos fracos, como “um saco d’água cheio de furos”. Enquanto parte da comunidade oferecia apoio, outra enviava críticas duras. “Ninguém perguntava como estávamos; queriam saber do projeto”, disse.
Imagem: Internet
Soluções e lições aprendidas
A crise impulsionou iniciativas como o GitHub Secure Open Source Fund, que financia e treina projetos críticos. Grobmeier participou do programa e destacou a mudança de mentalidade: “Com esse treinamento, o desenvolvedor deixa de ser o elo fraco e vira a primeira linha de defesa.” Ele acredita que, se o curso existisse cinco anos antes, “talvez o Log4Shell não acontecesse”.
Entre as lições destacadas estão:
- validar todo dado externo;
- desabilitar recursos perigosos por padrão — o JNDI agora vem inativo no Log4j;
- implementar camadas de defesa;
- automatizar varreduras de segurança com ferramentas como Dependabot;
- manter SBOMs (listas de materiais de software) para identificar dependências.
Próximos passos
Hoje, o Log4j registra 8,3 pontos na métrica OpenSSF, indicando boas práticas de segurança. Grobmeier reforça que “ignorância é a pior falha” e aconselha mantenedores a buscarem capacitação contínua.
Com informações de GitHub Blog