Veracode on julkaissut tulokset tutkimuksesta Log4j Java -kirjaston kriittisten haavoittuvuuksien merkityksestä, jotka tunnistettiin viime vuonna ja edellisenä vuonna. Tutkittuaan 38278 3866 sovellusta, joita 38 4 organisaatiota käyttävät, Veracoden tutkijat havaitsivat, että 79 prosenttia heistä käyttää haavoittuvia LogXNUMXj-versioita. Pääsyy vanhan koodin käytön jatkamiselle on vanhojen kirjastojen integrointi projekteihin tai vaivalloinen siirtyminen tukemattomista haaroista uusiin, taaksepäin yhteensopiviin haaroihin (aikaisemman Veracode-raportin perusteella XNUMX % kolmannen osapuolen kirjastoista siirtyi projektiin koodia ei koskaan päivitetä myöhemmin).
On olemassa kolme pääluokkaa sovelluksia, jotka käyttävät Log4j:n haavoittuvia versioita:
- 2.8 % sovelluksista käyttää edelleen Log4j-versioita 2.0-beta9 - 2.15.0, jotka sisältävät Log4Shell-haavoittuvuuden (CVE-2021-44228).
- 3.8 % sovelluksista käyttää Log4j2 2.17.0 -julkaisua, joka korjaa Log4Shell-haavoittuvuuden, mutta jättää CVE-2021-44832 koodin etäsuorittamisen (RCE) haavoittuvuuden korjaamatta.
- 32 % sovelluksista käyttää Log4j2 1.2.x -haaraa, jonka tuki päättyi vuonna 2015. Tähän haaraan vaikuttavat kriittiset haavoittuvuudet CVE-2022-23307, CVE-2022-23305 ja CVE-2022-23302, jotka tunnistettiin vuonna 2022 seitsemän vuotta huollon päättymisen jälkeen.
Lähde: opennet.ru