🥇 Log4j লাইব্রেরির উপর ভিত্তি করে জাভা প্রকল্পগুলির এক তৃতীয়াংশ দুর্বল সংস্করণগুলি ব্যবহার করে চলেছে

ভেরাকোড Log4j জাভা লাইব্রেরিতে সমালোচনামূলক দুর্বলতার প্রাসঙ্গিকতার একটি গবেষণার ফলাফল প্রকাশ করেছে, যা গত বছর এবং তার আগের বছর চিহ্নিত করা হয়েছিল। 38278টি সংস্থার দ্বারা ব্যবহৃত 3866টি অ্যাপ্লিকেশন অধ্যয়ন করার পর, ভেরাকোড গবেষকরা দেখেছেন যে তাদের মধ্যে 38% Log4j-এর দুর্বল সংস্করণ ব্যবহার করে৷ লিগ্যাসি কোড ব্যবহার চালিয়ে যাওয়ার প্রধান কারণ হল প্রকল্পগুলিতে পুরানো লাইব্রেরিগুলির একীকরণ বা অসমর্থিত শাখাগুলি থেকে নতুন শাখাগুলিতে স্থানান্তরিত করার শ্রমসাধ্যতা যা পশ্চাদমুখী সামঞ্জস্যপূর্ণ (আগের একটি ভেরাকোড রিপোর্ট দ্বারা বিচার করা, তৃতীয় পক্ষের লাইব্রেরিগুলির 79% প্রকল্পে স্থানান্তরিত হয়েছে) কোড পরবর্তীতে আপডেট করা হয় না)।

Log4j এর দুর্বল সংস্করণ ব্যবহার করে এমন তিনটি প্রধান বিভাগ রয়েছে:

2.8% অ্যাপ্লিকেশনগুলি 4-beta2.0 থেকে 9 পর্যন্ত Log2.15.0j সংস্করণগুলি ব্যবহার করে চলেছে, যার মধ্যে Log4Shell দুর্বলতা রয়েছে (CVE-2021-44228)৷
3.8% অ্যাপ্লিকেশন Log4j2 2.17.0 রিলিজ ব্যবহার করে, যা Log4Shell দুর্বলতাকে ঠিক করে, কিন্তু CVE-2021-44832 রিমোট কোড এক্সিকিউশন (RCE) দুর্বলতাকে অপরিবর্তিত রাখে।
32% অ্যাপ্লিকেশন Log4j2 1.2.x শাখা ব্যবহার করে, যার সমর্থন 2015 সালে শেষ হয়েছিল। এই শাখা CVE-2022-23307, CVE-2022-23305 এবং CVE-2022-23302 দ্বারা রক্ষণাবেক্ষণ শেষ হওয়ার 2022 বছর পরে 7 সালে চিহ্নিত গুরুতর দুর্বলতা দ্বারা প্রভাবিত হয়।

উত্স: opennet.ru

Log4j লাইব্রেরির উপর ভিত্তি করে জাভা প্রকল্পের এক তৃতীয়াংশ দুর্বল সংস্করণ ব্যবহার করে চলেছে

একটি মন্তব্য জুড়ুন উত্তর বাতিল