Veracode-k iaz eta aurreko urtean identifikatutako Log4j Java liburutegian ahultasun kritikoen garrantziari buruzko ikerketa baten emaitzak argitaratu ditu. 38278 erakundek erabiltzen dituzten 3866 aplikazio aztertu ondoren, Veracodeko ikertzaileek aurkitu zuten % 38k Log4j-ren bertsio zaurgarriak erabiltzen dituela. Kode zaharra erabiltzen jarraitzeko arrazoi nagusia liburutegi zaharrak proiektuetan integratzea edo onartzen ez diren adarretatik atzera bateragarriak diren adar berrietara migratzearen neketsua da (aurreko Veracode txosten baten arabera, hirugarrenen liburutegien % 79 proiektura migratu zen). kodea ez dira gero eguneratzen).
Log4j-ren bertsio zaurgarriak erabiltzen dituzten hiru aplikazio kategoria nagusi daude:
- Aplikazioen % 2.8k 4-beta2.0tik 9ra bitarteko Log2.15.0j bertsioak erabiltzen jarraitzen dute, Log4Shell ahultasuna (CVE-2021-44228) dutenak.
- Aplikazioen % 3.8k Log4j2 2.17.0 bertsioa erabiltzen du, Log4Shell ahultasuna konpontzen duena, baina CVE-2021-44832 urrutiko kodea exekutatzeko (RCE) ahultasuna konpondu gabe uzten du.
- Aplikazioen % 32k Log4j2 1.2.x adarra erabiltzen du, eta laguntza 2015ean amaitu zen. Adar honek CVE-2022-23307, CVE-2022-23305 eta CVE-2022-23302 ahultasun larriek eragiten dute, 2022an identifikatutako mantentze lanak amaitu eta 7 urtera.
Iturria: opennet.ru