Veracode ha publicat els resultats d'un estudi sobre la rellevància de les vulnerabilitats crítiques a la biblioteca Java de Log4j, identificades l'any passat i l'any anterior. Després d'estudiar 38278 aplicacions utilitzades per 3866 organitzacions, els investigadors de Veracode van trobar que el 38% d'elles utilitzen versions vulnerables de Log4j. El motiu principal per continuar utilitzant codi heretat és la integració de biblioteques antigues als projectes o la laboriositat de migrar de branques no compatibles a branques noves compatibles amb les versions anteriors (a jutjar per un informe anterior de Veracode, el 79% de les biblioteques de tercers van migrar al projecte). codi no s'actualitzen mai posteriorment).
Hi ha tres categories principals d'aplicacions que utilitzen versions vulnerables de Log4j:
- El 2.8% de les aplicacions continuen utilitzant versions de Log4j de la 2.0-beta9 a la 2.15.0, que contenen la vulnerabilitat Log4Shell (CVE-2021-44228).
- El 3.8% de les aplicacions utilitzen la versió Log4j2 2.17.0, que soluciona la vulnerabilitat de Log4Shell, però deixa sense corregir la vulnerabilitat d'execució de codi remot (RCE) CVE-2021-44832.
- El 32% de les aplicacions utilitzen la branca Log4j2 1.2.x, el suport per a la qual va acabar el 2015. Aquesta branca està afectada per vulnerabilitats crítiques CVE-2022-23307, CVE-2022-23305 i CVE-2022-23302, identificades l'any 2022 7 anys després del final del manteniment.
Font: opennet.ru