Кампанія Veracode апублікавала вынікі даследавання актуальнасці крытычных уразлівасцяў у Java-бібліятэцы Log4j, выяўленых у мінулым і пазамінулым гадах. Вывучыўшы 38278 прыкладанняў, якія выкарыстоўваюцца ў 3866 арганізацыях, даследнікі з Veracode выявілі, што 38% з іх выкарыстоўваюць уразлівыя версіі Log4j. Асноўнай прычынай працягу прымянення састарэлага кода з'яўляецца ўбудаванне ў праекты старых бібліятэк або працаёмкасць міграцыі з ужо непадтрымліваемых галінак на новыя галінкі, у якіх парушана зваротная сумяшчальнасць (мяркуючы па мінулай справаздачы Veracode, 79% перанесеных у код праектаў іншых бібліятэк у наступным ніколі не абнаўляюцца.
Выдзелены тры асноўныя катэгорыі прыкладанняў, якія выкарыстоўваюць уразлівыя версіі Log4j:
- 2.8% прыкладанняў працягваюць выкарыстоўваць версіі Log4j з 2.0-beta9 па 2.15.0, якія змяшчаюць уразлівасць Log4Shell (CVE-2021-44228).
- 3.8% прыкладанняў выкарыстоўваюць выпуск Log4j2 2.17.0, у якім уразлівасць Log4Shell ухіленая, але застаецца не выпраўленай уразлівасць CVE-2021-44832, якая дазваляе арганізаваць выдаленае выкананне кода (RCE).
- 32% прыкладанняў выкарыстоўваюць галінку Log4j2 1.2.x, падтрымка якой завяршылася яшчэ ў 2015 годзе. Дадзеная галіна схільная крытычным уразлівасцям CVE-2022-23307, CVE-2022-23305 і CVE-2022-23302, выяўленым у 2022 годзе праз 7 гадоў пасля спынення суправаджэння.
Крыніца: opennet.ru