Veracode publikigis la rezultojn de studo pri la graveco de kritikaj vundeblecoj en la Log4j Java biblioteko, identigita pasintjare kaj la jaron antaŭe. Post studado de 38278 aplikoj uzataj de 3866 organizoj, Veracode-esploristoj trovis, ke 38% el ili uzas vundeblajn versiojn de Log4j. La ĉefa kialo por daŭre uzi heredaĵkodon estas la integriĝo de malnovaj bibliotekoj en projektojn aŭ la penego de migrado de nesubtenataj branĉoj al novaj branĉoj kiuj estas malantaŭen kongruaj (se juĝante laŭ antaŭa raporto de Veracode, 79% de triaj bibliotekoj migris en projekton). kodo neniam estas poste ĝisdatigita).
Estas tri ĉefaj kategorioj da aplikoj, kiuj uzas vundeblajn versiojn de Log4j:
- 2.8% de aplikaĵoj daŭre uzas versiojn de Log4j de 2.0-beta9 ĝis 2.15.0, kiuj enhavas la vundeblecon de Log4Shell (CVE-2021-44228).
- 3.8% de aplikoj uzas la eldonon de Log4j2 2.17.0, kiu riparas la vundeblecon de Log4Shell, sed lasas la vundeblecon de fora koda ekzekuto (RCE) CVE-2021-44832 nefiksita.
- 32% de aplikoj uzas la branĉon Log4j2 1.2.x, kies subteno finiĝis en 2015. Ĉi tiu branĉo estas trafita de kritikaj vundeblecoj CVE-2022-23307, CVE-2022-23305 kaj CVE-2022-23302, identigitaj en 2022 7 jarojn post la fino de bontenado.
fonto: opennet.ru