Veracode نتایج مطالعه مربوط به آسیبپذیریهای حیاتی در کتابخانه جاوا Log4j را منتشر کرده است که سال گذشته و سال قبل شناسایی شد. پس از مطالعه 38278 برنامه کاربردی مورد استفاده توسط 3866 سازمان، محققان Veracode دریافتند که 38٪ از آنها از نسخه های آسیب پذیر Log4j استفاده می کنند. دلیل اصلی ادامه استفاده از کدهای قدیمی، ادغام کتابخانههای قدیمی در پروژهها یا دشواری مهاجرت از شاخههای پشتیبانینشده به شاخههای جدید است که با نسخه قبلی سازگار هستند (با قضاوت بر اساس گزارش قبلی Veracode، 79 درصد از کتابخانههای شخص ثالث به پروژه مهاجرت کردند. کدها هرگز متعاقباً به روز نمی شوند).
سه دسته اصلی از برنامه ها وجود دارد که از نسخه های آسیب پذیر Log4j استفاده می کنند:
- 2.8٪ از برنامه ها همچنان از نسخه های Log4j از 2.0-beta9 تا 2.15.0 استفاده می کنند که حاوی آسیب پذیری Log4Shell (CVE-2021-44228) هستند.
- 3.8٪ از برنامه ها از نسخه Log4j2 2.17.0 استفاده می کنند که آسیب پذیری Log4Shell را برطرف می کند، اما آسیب پذیری اجرای کد از راه دور CVE-2021-44832 (RCE) را رفع نمی کند.
- 32 درصد از برنامه ها از شاخه Log4j2 1.2.x استفاده می کنند که پشتیبانی از آن در سال 2015 به پایان رسید. این شاخه تحت تأثیر آسیب پذیری های بحرانی CVE-2022-23307، CVE-2022-23305 و CVE-2022-23302 قرار گرفته است که در سال 2022 و 7 سال پس از پایان تعمیر و نگهداری شناسایی شده اند.
منبع: opennet.ru