Veracode hat die Ergebnisse einer Studie zur Relevanz kritischer Schwachstellen in der Log4j-Java-Bibliothek veröffentlicht, die letztes und im Jahr zuvor identifiziert wurden. Nach der Untersuchung von 38278 Anwendungen, die von 3866 Organisationen verwendet wurden, stellten die Veracode-Forscher fest, dass 38 % von ihnen anfällige Versionen von Log4j verwenden. Der Hauptgrund für die weitere Verwendung von Legacy-Code ist die Integration alter Bibliotheken in Projekte oder die mühsame Migration von nicht unterstützten Zweigen zu neuen Zweigen, die abwärtskompatibel sind (nach einem früheren Veracode-Bericht wurden 79 % der Bibliotheken von Drittanbietern in Projekte migriert). Code werden nachträglich nie aktualisiert).
Es gibt drei Hauptkategorien von Anwendungen, die anfällige Versionen von Log4j verwenden:
- 2.8 % der Anwendungen verwenden weiterhin Log4j-Versionen von 2.0-beta9 bis 2.15.0, die die Log4Shell-Schwachstelle (CVE-2021-44228) enthalten.
- 3.8 % der Anwendungen verwenden die Log4j2-Version 2.17.0, die die Log4Shell-Schwachstelle behebt, die Schwachstelle CVE-2021-44832 zur Remotecodeausführung (RCE) jedoch nicht behebt.
- 32 % der Anwendungen nutzen den Log4j2 1.2.x-Zweig, dessen Unterstützung bereits 2015 eingestellt wurde. Dieser Zweig ist von den kritischen Schwachstellen CVE-2022-23307, CVE-2022-23305 und CVE-2022-23302 betroffen, die 2022, 7 Jahre nach dem Ende der Wartung, identifiziert wurden.
Source: opennet.ru