Veracode je objavio rezultate studije o važnosti kritičnih ranjivosti u Log4j Java biblioteci, identifikovane prošle i prethodne godine. Nakon proučavanja 38278 aplikacija koje koristi 3866 organizacija, Veracode istraživači su otkrili da 38% njih koristi ranjive verzije Log4j-a. Glavni razlog za nastavak korištenja naslijeđenog koda je integracija starih biblioteka u projekte ili mukotrpna migracija s nepodržanih grana na nove grane koje su kompatibilne unatrag (sudeći prema prethodnom izvještaju Veracode, 79% biblioteka trećih strana migriralo je u projekat kod se nikada naknadno ne ažurira).
Postoje tri glavne kategorije aplikacija koje koriste ranjive verzije Log4j-a:
- 2.8% aplikacija i dalje koristi Log4j verzije od 2.0-beta9 do 2.15.0, koje sadrže ranjivost Log4Shell (CVE-2021-44228).
- 3.8% aplikacija koristi izdanje Log4j2 2.17.0, koje popravlja ranjivost Log4Shell, ali ostavlja neispravljenu ranjivost CVE-2021-44832 daljinskog izvršavanja koda (RCE).
- 32% aplikacija koristi granu Log4j2 1.2.x, za koju je podrška prestala još 2015. godine. Na ovu granu utiču kritične ranjivosti CVE-2022-23307, CVE-2022-23305 i CVE-2022-23302, identifikovane 2022. 7 godina nakon završetka održavanja.
izvor: opennet.ru