ቬራኮድ ባለፈው አመት እና በፊተኛው አመት ተለይቶ በ Log4j Java ላይብረሪ ውስጥ የወሳኝ ተጋላጭነቶችን አስፈላጊነት ጥናት ውጤት አሳትሟል። የቬራኮድ ተመራማሪዎች በ38278 ድርጅቶች ጥቅም ላይ የዋሉ 3866 አፕሊኬሽኖችን ካጠኑ በኋላ 38% የሚሆኑት ተጋላጭ የሆኑ የLog4j ስሪቶችን ይጠቀማሉ። የቅርስ ኮድ መጠቀምን ለመቀጠል ዋናው ምክንያት የድሮ ቤተ-መጻሕፍት ወደ ፕሮጄክቶች መዋሃዱ ወይም ከማይደገፉ ቅርንጫፎች ወደ ኋላ ተኳሃኝ ወደሆኑት ቅርንጫፎች የመሸጋገሩ አድካሚነት ነው (በቀደመው የቬራኮድ ዘገባ መሠረት 79% የሶስተኛ ወገን ቤተ-መጽሐፍት ወደ ፕሮጀክት ተሰደዱ። ኮድ በጭራሽ አልተዘመነም)።
ተጋላጭ የሆኑ የLog4j ስሪቶችን የሚጠቀሙ ሶስት ዋና ዋና የመተግበሪያዎች ምድቦች አሉ።
- 2.8% አፕሊኬሽኖች Log4j ስሪቶችን ከ2.0-beta9 እስከ 2.15.0 መጠቀማቸውን ቀጥለዋል፣ ይህም የሎግ4ሼል ተጋላጭነት (CVE-2021-44228) ይዟል።
- 3.8% አፕሊኬሽኖች የLog4j2 2.17.0 ልቀትን ይጠቀማሉ፣ ይህም የLog4Shell ተጋላጭነትን የሚያስተካክል፣ ነገር ግን የCVE-2021-44832 የርቀት ኮድ አፈፃፀም (RCE) ተጋላጭነትን ያልተስተካከለ ያደርገዋል።
- 32% አፕሊኬሽኖች የLog4j2 1.2.x ቅርንጫፍን ይጠቀማሉ፣ ይህም ድጋፍ በ2015 ያበቃለት። ይህ ቅርንጫፍ ጥገናው ካለቀ ከ2022 ዓመታት በኋላ በ23307 ተለይቶ በ CVE-2022-23305፣ CVE-2022-23302 እና CVE-2022-7 በወሳኝ ተጋላጭነቶች ተጎድቷል።
ምንጭ: opennet.ru