Veracode hà publicatu i risultati di un studiu di a pertinenza di i vulnerabili critichi in a biblioteca Log4j Java, identificata l'annu passatu è l'annu prima. Dopu avè studiatu l'applicazioni 38278 utilizati da l'urganisazioni 3866, i circadori di Veracode anu truvatu chì 38% di elli utilizanu versioni vulnerabili di Log4j. U mutivu principale per cuntinuà à aduprà u codice legatu hè l'integrazione di vechji biblioteche in i prughjetti o a laboriosità di a migrazione da rami senza supportu à novi rami chì sò retrocompatibili (a ghjudicà da un rapportu precedente di Veracode, 79% di e biblioteche di terze parti migrate in u prugettu). u codice ùn hè mai aghjurnatu dopu).
Ci sò trè categorie principali di applicazioni chì utilizanu versioni vulnerabili di Log4j:
- 2.8% di l'applicazioni cuntinueghjanu à aduprà e versioni di Log4j da 2.0-beta9 à 2.15.0, chì cuntenenu a vulnerabilità Log4Shell (CVE-2021-44228).
- U 3.8% di l'applicazioni utilizanu a liberazione Log4j2 2.17.0, chì risolve a vulnerabilità Log4Shell, ma lascia a vulnerabilità CVE-2021-44832 di esecuzione di codice remota (RCE) senza correzione.
- U 32% di l'applicazioni utilizanu u ramu Log4j2 1.2.x, u supportu per quale hè finitu in 2015. Stu ramu hè affettatu da vulnerabili critichi CVE-2022-23307, CVE-2022-23305 è CVE-2022-23302, identificate in 2022 7 anni dopu a fine di u mantenimentu.
Source: opennet.ru