Veracode zveřejnila výsledky studie relevance kritických zranitelností v knihovně Log4j Java, které byly identifikovány loni a předloni. Po prostudování 38278 3866 aplikací používaných 38 4 organizacemi výzkumníci společnosti Veracode zjistili, že 79 % z nich používá zranitelné verze LogXNUMXj. Hlavním důvodem pro pokračování v používání staršího kódu je integrace starých knihoven do projektů nebo pracnost migrace z nepodporovaných větví do nových větví, které jsou zpětně kompatibilní (soudě podle předchozí zprávy Veracode, XNUMX % knihoven třetích stran migrovalo do projektu kód se nikdy následně neaktualizuje).
Existují tři hlavní kategorie aplikací, které používají zranitelné verze Log4j:
- 2.8 % aplikací nadále používá verze Log4j od 2.0-beta9 do 2.15.0, které obsahují chybu zabezpečení Log4Shell (CVE-2021-44228).
- 3.8 % aplikací používá vydání Log4j2 2.17.0, které opravuje zranitelnost Log4Shell, ale ponechává chybu zabezpečení CVE-2021-44832 vzdálené spuštění kódu (RCE) neopravenou.
- 32 % aplikací používá větev Log4j2 1.2.x, jejíž podpora skončila již v roce 2015. Tato větev je ovlivněna kritickými chybami zabezpečení CVE-2022-23307, CVE-2022-23305 a CVE-2022-23302, které byly zjištěny v roce 2022 7 let po ukončení údržby.
Zdroj: opennet.ru