نشرت Veracode نتائج دراسة حول أهمية الثغرات الأمنية الحرجة في مكتبة Log4j Java، التي تم تحديدها العام الماضي والعام السابق. وبعد دراسة 38278 تطبيقًا تستخدمها 3866 مؤسسة، وجد باحثو Veracode أن 38% منها تستخدم إصدارات ضعيفة من Log4j. السبب الرئيسي للاستمرار في استخدام الكود القديم هو دمج المكتبات القديمة في المشاريع أو صعوبة الانتقال من الفروع غير المدعومة إلى الفروع الجديدة المتوافقة مع الإصدارات السابقة (استنادًا إلى تقرير Veracode السابق، تم ترحيل 79% من مكتبات الطرف الثالث إلى المشروع لا يتم تحديث الكود لاحقًا).
هناك ثلاث فئات رئيسية من التطبيقات التي تستخدم الإصدارات الضعيفة من Log4j:
- تستمر 2.8% من التطبيقات في استخدام إصدارات Log4j من 2.0-beta9 إلى 2.15.0، والتي تحتوي على ثغرة Log4Shell (CVE-2021-44228).
- تستخدم 3.8% من التطبيقات إصدار Log4j2 2.17.0، الذي يعمل على إصلاح ثغرة Log4Shell، لكنه يترك ثغرة تنفيذ التعليمات البرمجية عن بعد (RCE) CVE-2021-44832 دون إصلاح.
- تستخدم 32% من التطبيقات فرع Log4j2 1.2.x، والذي انتهى دعمه في عام 2015. يتأثر هذا الفرع بالثغرات الأمنية الحرجة CVE-2022-23307 وCVE-2022-23305 وCVE-2022-23302، التي تم تحديدها في عام 2022 بعد 7 سنوات من انتهاء الصيانة.
المصدر: opennet.ru