Veracode on avaldanud eelmisel ja üle-eelmisel aastal tuvastatud Log4j Java teegi kriitiliste turvaaukude asjakohasuse uuringu tulemused. Pärast 38278 3866 rakenduse uurimist, mida kasutas 38 organisatsiooni, leidsid Veracode'i teadlased, et 4% neist kasutab Log79j haavatavaid versioone. Peamine põhjus pärandkoodi kasutamise jätkamiseks on vanade teekide integreerimine projektidesse või töömahukus migreerudes toetamata filiaalidelt uutele harudele, mis on tagasiühilduvad (eelmise Veracode'i aruande põhjal otsustas, et XNUMX% kolmandate osapoolte raamatukogudest migreerus projekti koodi kunagi hiljem ei värskendata).
Rakendusi, mis kasutavad Log4j haavatavaid versioone, on kolm peamist kategooriat:
- 2.8% rakendustest kasutavad jätkuvalt Log4j versioone 2.0-beta9 kuni 2.15.0, mis sisaldavad Log4Shelli haavatavust (CVE-2021-44228).
- 3.8% rakendustest kasutavad Log4j2 versiooni 2.17.0, mis parandab Log4Shelli haavatavuse, kuid jätab CVE-2021-44832 koodi kaugkäivitamise (RCE) haavatavuse parandamata.
- 32% rakendustest kasutab Log4j2 1.2.x haru, mille tugi lõppes juba 2015. aastal. Seda haru mõjutavad kriitilised haavatavused CVE-2022-23307, CVE-2022-23305 ja CVE-2022-23302, mis tuvastati 2022. aastal 7 aastat pärast hoolduse lõppu.
Allikas: opennet.ru