Veracode har offentliggjort resultaterne af en undersøgelse af relevansen af kritiske sårbarheder i Log4j Java-biblioteket, identificeret sidste år og året før. Efter at have studeret 38278 applikationer brugt af 3866 organisationer, fandt Veracode-forskere ud af, at 38% af dem bruger sårbare versioner af Log4j. Hovedårsagen til at fortsætte med at bruge ældre kode er integrationen af gamle biblioteker i projekter eller besværligheden ved at migrere fra ikke-understøttede filialer til nye filialer, der er bagudkompatible (at dømme efter en tidligere Veracode-rapport, migrerede 79 % af tredjepartsbibliotekerne ind i projektet kode bliver aldrig efterfølgende opdateret).
Der er tre hovedkategorier af applikationer, der bruger sårbare versioner af Log4j:
- 2.8 % af applikationerne fortsætter med at bruge Log4j-versioner fra 2.0-beta9 til 2.15.0, som indeholder Log4Shell-sårbarheden (CVE-2021-44228).
- 3.8 % af applikationerne bruger Log4j2 2.17.0-udgivelsen, som løser Log4Shell-sårbarheden, men lader sårbarheden CVE-2021-44832 remote code execution (RCE) være uløst.
- 32 % af applikationerne bruger Log4j2 1.2.x-grenen, som sluttede tilbage i 2015. Denne gren er påvirket af kritiske sårbarheder CVE-2022-23307, CVE-2022-23305 og CVE-2022-23302, identificeret i 2022 7 år efter afslutningen af vedligeholdelsen.
Kilde: opennet.ru