Една трета от Java проектите, базирани на библиотеката Log4j, продължават да използват уязвими версии

Veracode публикува резултатите от проучване на значимостта на критичните уязвимости в библиотеката Log4j Java, идентифицирани миналата и предходната година. След проучване на 38278 3866 приложения, използвани от 38 4 организации, изследователите на Veracode установиха, че 79% от тях използват уязвими версии на LogXNUMXj. Основната причина за продължаване на използването на наследен код е интегрирането на стари библиотеки в проекти или трудоемкостта на мигрирането от неподдържани клонове към нови клонове, които са обратно съвместими (съдейки по предишен доклад на Veracode, XNUMX% от библиотеките на трети страни са мигрирали в проекта кодът никога не се актуализира впоследствие).

Има три основни категории приложения, които използват уязвими версии на Log4j:

• 2.8% от приложенията продължават да използват версии на Log4j от 2.0-beta9 до 2.15.0, които съдържат уязвимостта на Log4Shell (CVE-2021-44228).
• 3.8% от приложенията използват изданието Log4j2 2.17.0, което коригира уязвимостта на Log4Shell, но оставя уязвимостта CVE-2021-44832 дистанционно изпълнение на код (RCE) некоригирана.
• 32% от приложенията използват клона Log4j2 1.2.x, чиято поддръжка приключи през 2015 г. Този клон е засегнат от критични уязвимости CVE-2022-23307, CVE-2022-23305 и CVE-2022-23302, идентифицирани през 2022 г. 7 години след края на поддръжката.

Източник: opennet.ru