Veracode keçən il və ondan əvvəlki il müəyyən edilmiş Log4j Java kitabxanasında kritik zəifliklərin aktuallığına dair araşdırmanın nəticələrini dərc edib. Veracode tədqiqatçıları 38278 təşkilatın istifadə etdiyi 3866 tətbiqi araşdırdıqdan sonra müəyyən ediblər ki, onların 38%-i Log4j-in həssas versiyalarından istifadə edir. Köhnə kodlardan istifadə etməyə davam etməyin əsas səbəbi köhnə kitabxanaların layihələrə inteqrasiyası və ya dəstəklənməyən filiallardan geriyə uyğun olan yeni filiallara köçməyin zəhmətkeşliyidir (əvvəlki Veracode hesabatına əsasən, üçüncü tərəf kitabxanalarının 79%-i layihəyə köçüb kod heç vaxt sonradan yenilənmir).
Log4j-in həssas versiyalarından istifadə edən proqramların üç əsas kateqoriyası var:
- Tətbiqlərin 2.8%-i Log4Shell zəifliyini (CVE-2.0-9) ehtiva edən 2.15.0-beta4-dan 2021-a qədər Log44228j versiyalarından istifadə etməyə davam edir.
- Tətbiqlərin 3.8%-i Log4Shell zəifliyini aradan qaldıran, lakin CVE-2-2.17.0 məsafədən kod icrası (RCE) zəifliyini düzəlişsiz qoyan Log4j2021 44832 buraxılışından istifadə edir.
- Tətbiqlərin 32%-i Log4j2 1.2.x filialından istifadə edir, dəstəyi 2015-ci ildə başa çatmışdır. Bu filial texniki xidmətin bitməsindən 2022 il sonra 23307-ci ildə müəyyən edilmiş CVE-2022-23305, CVE-2022-23302 və CVE-2022-7 kritik zəifliklərdən təsirlənir.
Mənbə: opennet.ru