Veracode het die resultate gepubliseer van 'n studie van die relevansie van kritieke kwesbaarhede in die Log4j Java-biblioteek, wat verlede jaar en die jaar tevore geïdentifiseer is. Na bestudering van 38278 3866 toepassings wat deur 38 4 organisasies gebruik word, het Veracode-navorsers gevind dat 79% van hulle kwesbare weergawes van LogXNUMXj gebruik. Die hoofrede vir die voortsetting van die gebruik van verouderde kode is die integrasie van ou biblioteke in projekte of die moeisaamheid om van nie-ondersteunde takke na nuwe takke te migreer wat agteruit versoenbaar is (te oordeel aan 'n vorige Veracode-verslag, XNUMX% van derdeparty-biblioteke het na die projek gemigreer kode word nooit later opgedateer nie).
Daar is drie hoofkategorieë toepassings wat kwesbare weergawes van Log4j gebruik:
- 2.8% van toepassings gebruik steeds Log4j-weergawes van 2.0-beta9 tot 2.15.0, wat die Log4Shell-kwesbaarheid (CVE-2021-44228) bevat.
- 3.8% van die toepassings gebruik die Log4j2 2.17.0-vrystelling, wat die Log4Shell-kwesbaarheid regstel, maar die CVE-2021-44832-kwesbaarheid vir afgeleë kode-uitvoering (RCE) onreggestel laat.
- 32% van toepassings gebruik die Log4j2 1.2.x-tak, waarvoor ondersteuning in 2015 geëindig het. Hierdie tak word geraak deur kritieke kwesbaarhede CVE-2022-23307, CVE-2022-23305 en CVE-2022-23302, wat in 2022 7 jaar na die einde van instandhouding geïdentifiseer is.
Bron: opennet.ru