Mae Veracode wedi cyhoeddi canlyniadau astudiaeth o berthnasedd gwendidau critigol yn llyfrgell Log4j Java, a nodwyd y llynedd a'r flwyddyn flaenorol. Ar Γ΄l astudio 38278 o gymwysiadau a ddefnyddir gan 3866 o sefydliadau, canfu ymchwilwyr Veracode fod 38% ohonynt yn defnyddio fersiynau bregus o Log4j. Y prif reswm dros barhau i ddefnyddioβr cod etifeddiaeth yw integreiddio hen lyfrgelloedd i brosiectau neu gymhlethdod symud o ganghennau digymorth i ganghennau newydd syβn gydnaws yn Γ΄l (a barnu yn Γ΄l adroddiad Veracode blaenorol, mudodd 79% o lyfrgelloedd trydydd parti i mewn i brosiect cod byth yn cael ei ddiweddaru).
Mae tri phrif gategori o gymwysiadau sy'n defnyddio fersiynau bregus o Log4j:
- Mae 2.8% o gymwysiadau yn parhau i ddefnyddio fersiynau Log4j o 2.0-beta9 i 2.15.0, sy'n cynnwys bregusrwydd Log4Shell (CVE-2021-44228).
- Mae 3.8% o gymwysiadau yn defnyddio'r datganiad Log4j2 2.17.0, sy'n trwsio bregusrwydd Log4Shell, ond yn gadael bregusrwydd gweithredu cod o bell (RCE) CVE-2021-44832 heb ei bennu.
- Mae 32% o geisiadau yn defnyddio cangen Log4j2 1.2.x, a daeth cefnogaeth ar ei chyfer i ben yn 2015. Effeithir ar y gangen hon gan wendidau critigol CVE-2022-23307, CVE-2022-23305 a CVE-2022-23302, a nodwyd yn 2022 7 mlynedd ar Γ΄l diwedd y gwaith cynnal a chadw.
Ffynhonnell: opennet.ru