Gipatik sa Veracode ang mga resulta sa usa ka pagtuon sa kalabutan sa mga kritikal nga kahuyangan sa Log4j Java library, nga giila sa miaging tuig ug sa miaging tuig. Human sa pagtuon sa 38278 ka aplikasyon nga gigamit sa 3866 ka organisasyon, ang mga tigdukiduki sa Veracode nakakaplag nga 38% kanila naggamit ug huyang nga mga bersyon sa Log4j. Ang nag-unang rason sa pagpadayon sa paggamit sa legacy code mao ang paghiusa sa mga daan nga librarya ngadto sa mga proyekto o ang kahago sa paglalin gikan sa dili suportadong mga sanga ngadto sa bag-ong mga sanga nga atrasado compatible (paghukom sa usa ka miaging Veracode report, 79% sa ikatulo nga-partido librarya migrate ngadto sa proyekto. ang code dili na ma-update sa ulahi).
Adunay tulo ka nag-unang mga kategorya sa mga aplikasyon nga naggamit sa mga huyang nga bersyon sa Log4j:
- Ang 2.8% sa mga aplikasyon nagpadayon sa paggamit sa mga bersyon sa Log4j gikan sa 2.0-beta9 hangtod sa 2.15.0, nga adunay sulud nga kahuyang sa Log4Shell (CVE-2021-44228).
- Ang 3.8% sa mga aplikasyon naggamit sa Log4j2 2.17.0 nga pagpagawas, nga nag-ayo sa kahuyangan sa Log4Shell, apan nagbilin sa CVE-2021-44832 remote code execution (RCE) vulnerability nga wala ma-fix.
- 32% sa mga aplikasyon naggamit sa Log4j2 1.2.x nga sanga, suporta nga natapos sa 2015. Kini nga sanga apektado sa mga kritikal nga kahuyangan CVE-2022-23307, CVE-2022-23305 ug CVE-2022-23302, nga giila sa 2022 7 ka tuig human sa pagtapos sa maintenance.
Source: opennet.ru