ΠΠΎΠΌΠΏΠ°Π½ΠΈΡ Veracode ΠΎΠΏΡΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»Π° ΡΠ΅Π·ΡΠ»ΡΡΠ°ΡΡ ΠΈΡΡΠ»Π΅Π΄ΠΎΠ²Π°Π½ΠΈΡ Π°ΠΊΡΡΠ°Π»ΡΠ½ΠΎΡΡΠΈ ΠΊΡΠΈΡΠΈΡΠ΅ΡΠΊΠΈΡ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΠ΅ΠΉ Π² Java-Π±ΠΈΠ±Π»ΠΈΠΎΡΠ΅ΠΊΠ΅ Log4j, Π²ΡΡΠ²Π»Π΅Π½Π½ΡΡ Π² ΠΏΡΠΎΡΠ»ΠΎΠΌ ΠΈ ΠΏΠΎΠ·Π°ΠΏΡΠΎΡΠ»ΠΎΠΌ Π³ΠΎΠ΄Π°Ρ . ΠΠ·ΡΡΠΈΠ² 38278 ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΠ΅ΠΌΡΡ Π² 3866 ΠΎΡΠ³Π°Π½ΠΈΠ·Π°ΡΠΈΡΡ , ΠΈΡΡΠ»Π΅Π΄ΠΎΠ²Π°ΡΠ΅Π»ΠΈ ΠΈΠ· Veracode ΠΎΠ±Π½Π°ΡΡΠΆΠΈΠ»ΠΈ, ΡΡΠΎ 38% ΠΈΠ· Π½ΠΈΡ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΡΡ ΡΡΠ·Π²ΠΈΠΌΡΠ΅ Π²Π΅ΡΡΠΈΠΈ Log4j. ΠΡΠ½ΠΎΠ²Π½ΠΎΠΉ ΠΏΡΠΈΡΠΈΠ½ΠΎΠΉ ΠΏΡΠΎΠ΄ΠΎΠ»ΠΆΠ΅Π½ΠΈΡ ΠΏΡΠΈΠΌΠ΅Π½Π΅Π½ΠΈΡ ΡΡΡΠ°ΡΠ΅Π²ΡΠ΅Π³ΠΎ ΠΊΠΎΠ΄Π° ΡΠ²Π»ΡΠ΅ΡΡΡ Π²ΡΡΡΠ°ΠΈΠ²Π°Π½ΠΈΠ΅ Π² ΠΏΡΠΎΠ΅ΠΊΡΡ ΡΡΠ°ΡΡΡ Π±ΠΈΠ±Π»ΠΈΠΎΡΠ΅ΠΊ ΠΈΠ»ΠΈ ΡΡΡΠ΄ΠΎΡΠΌΠΊΠΎΡΡΡ ΠΌΠΈΠ³ΡΠ°ΡΠΈΠΈ Ρ ΡΠΆΠ΅ Π½Π΅ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΈΠ²Π°Π΅ΠΌΡΡ Π²Π΅ΡΠΎΠΊ Π½Π° Π½ΠΎΠ²ΡΠ΅ Π²Π΅ΡΠΊΠΈ, Π² ΠΊΠΎΡΠΎΡΡΡ Π½Π°ΡΡΡΠ΅Π½Π° ΠΎΠ±ΡΠ°ΡΠ½Π°Ρ ΡΠΎΠ²ΠΌΠ΅ΡΡΠΈΠΌΠΎΡΡΡ (ΡΡΠ΄Ρ ΠΏΠΎ ΠΏΡΠΎΡΠ»ΠΎΠΌΡ ΠΎΡΡΡΡΡ Veracode, 79% ΠΏΠ΅ΡΠ΅Π½Π΅ΡΡΠ½Π½ΡΡ Π² ΠΊΠΎΠ΄ ΠΏΡΠΎΠ΅ΠΊΡΠΎΠ² ΡΡΠΎΡΠΎΠ½Π½ΠΈΡ Π±ΠΈΠ±Π»ΠΈΠΎΡΠ΅ΠΊ Π² ΠΏΠΎΡΠ»Π΅Π΄ΡΡΡΠ΅ΠΌ Π½ΠΈΠΊΠΎΠ³Π΄Π° Π½Π΅ ΠΎΠ±Π½ΠΎΠ²Π»ΡΡΡΡΡ).
ΠΡΠ΄Π΅Π»Π΅Π½Ρ ΡΡΠΈ ΠΎΡΠ½ΠΎΠ²Π½ΡΠ΅ ΠΊΠ°ΡΠ΅Π³ΠΎΡΠΈΠΈ ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ, ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΡΡΠΈΡ ΡΡΠ·Π²ΠΈΠΌΡΠ΅ Π²Π΅ΡΡΠΈΠΈ Log4j:
- 2.8% ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΏΡΠΎΠ΄ΠΎΠ»ΠΆΠ°ΡΡ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΡ Π²Π΅ΡΡΠΈΠΈ Log4j Ρ 2.0-beta9 ΠΏΠΎ 2.15.0, ΡΠΎΠ΄Π΅ΡΠΆΠ°ΡΠΈΠ΅ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡ Log4Shell (CVE-2021-44228).
- 3.8% ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΡΡ Π²ΡΠΏΡΡΠΊ Log4j2 2.17.0, Π² ΠΊΠΎΡΠΎΡΠΎΠΌ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡ Log4Shell ΡΡΡΡΠ°Π½Π΅Π½Π°, Π½ΠΎ ΠΎΡΡΠ°ΡΡΡΡ Π½Π΅ ΠΈΡΠΏΡΠ°Π²Π»Π΅Π½Π½ΠΎΠΉ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡ CVE-2021-44832, ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡΡΠ°Ρ ΠΎΡΠ³Π°Π½ΠΈΠ·ΠΎΠ²Π°ΡΡ ΡΠ΄Π°Π»ΡΠ½Π½ΠΎΠ΅ Π²ΡΠΏΠΎΠ»Π½Π΅Π½ΠΈΠ΅ ΠΊΠΎΠ΄Π° (RCE).
- 32% ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΡΡ Π²Π΅ΡΠΊΡ Log4j2 1.2.x, ΠΏΠΎΠ΄Π΄Π΅ΡΠΆΠΊΠ° ΠΊΠΎΡΠΎΡΠΎΠΉ Π·Π°Π²Π΅ΡΡΠΈΠ»ΠΎΡΡ Π΅ΡΡ Π² 2015 Π³ΠΎΠ΄Ρ. ΠΠ°Π½Π½Π°Ρ Π²Π΅ΡΠΊΠ° ΠΏΠΎΠ΄Π²Π΅ΡΠΆΠ΅Π½Π° ΠΊΡΠΈΡΠΈΡΠ΅ΡΠΊΠΈΠΌ ΡΡΠ·Π²ΠΈΠΌΠΎΡΡΡΠΌ CVE-2022-23307, CVE-2022-23305 ΠΈ CVE-2022-23302, Π²ΡΡΠ²Π»Π΅Π½Π½ΡΠΌ Π² 2022 Π³ΠΎΠ΄Ρ ΡΠΏΡΡΡΡ 7 Π»Π΅Ρ ΠΏΠΎΡΠ»Π΅ ΠΏΡΠ΅ΠΊΡΠ°ΡΠ΅Π½ΠΈΡ ΡΠΎΠΏΡΠΎΠ²ΠΎΠΆΠ΄Π΅Π½ΠΈΡ.
ΠΡΡΠΎΡΠ½ΠΈΠΊ: opennet.ru