Η Veracode δημοσίευσε τα αποτελέσματα μιας μελέτης σχετικά με τη συνάφεια των κρίσιμων τρωτών σημείων στη βιβλιοθήκη Log4j Java, που εντοπίστηκαν πέρυσι και πέρυσι. Αφού μελέτησαν 38278 εφαρμογές που χρησιμοποιούνται από 3866 οργανισμούς, οι ερευνητές της Veracode διαπίστωσαν ότι το 38% από αυτές χρησιμοποιούν ευάλωτες εκδόσεις του Log4j. Ο κύριος λόγος για τη συνέχιση της χρήσης παλαιού κώδικα είναι η ενσωμάτωση παλιών βιβλιοθηκών σε έργα ή η επίπονη μετάβαση από μη υποστηριζόμενα υποκαταστήματα σε νέα υποκαταστήματα που είναι συμβατά προς τα πίσω (κρίνοντας από μια προηγούμενη αναφορά Veracode, το 79% των βιβλιοθηκών τρίτων μεταφέρθηκαν στο έργο ο κώδικας δεν ενημερώνεται ποτέ στη συνέχεια).
Υπάρχουν τρεις κύριες κατηγορίες εφαρμογών που χρησιμοποιούν ευάλωτες εκδόσεις του Log4j:
- Το 2.8% των εφαρμογών συνεχίζει να χρησιμοποιεί εκδόσεις Log4j από 2.0-beta9 έως 2.15.0, οι οποίες περιέχουν την ευπάθεια Log4Shell (CVE-2021-44228).
- Το 3.8% των εφαρμογών χρησιμοποιεί την έκδοση Log4j2 2.17.0, η οποία διορθώνει την ευπάθεια Log4Shell, αλλά αφήνει αδιόρθωτη την ευπάθεια CVE-2021-44832 απομακρυσμένης εκτέλεσης κώδικα (RCE).
- Το 32% των εφαρμογών χρησιμοποιεί τον κλάδο Log4j2 1.2.x, η υποστήριξη του οποίου έληξε το 2015. Αυτός ο κλάδος επηρεάζεται από κρίσιμα τρωτά σημεία CVE-2022-23307, CVE-2022-23305 και CVE-2022-23302, που εντοπίστηκαν το 2022 7 χρόνια μετά το τέλος της συντήρησης.
Πηγή: opennet.ru