Veracode a publié les résultats d'une étude sur la pertinence des vulnérabilités critiques de la bibliothèque Java Log4j, identifiées l'année dernière et l'année précédente. Après avoir étudié 38278 3866 applications utilisées par 38 4 organisations, les chercheurs de Veracode ont constaté que 79 % d’entre elles utilisent des versions vulnérables de LogXNUMXj. La principale raison pour laquelle on continue à utiliser le code existant est l'intégration d'anciennes bibliothèques dans des projets ou la difficulté de migrer de branches non prises en charge vers de nouvelles branches rétrocompatibles (à en juger par un précédent rapport Veracode, XNUMX % des bibliothèques tierces ont migré vers le projet). le code ne sont jamais mis à jour par la suite).
Il existe trois catégories principales d'applications qui utilisent des versions vulnérables de Log4j :
- 2.8 % des applications continuent d'utiliser les versions Log4j de 2.0-beta9 à 2.15.0, qui contiennent la vulnérabilité Log4Shell (CVE-2021-44228).
- 3.8 % des applications utilisent la version Log4j2 2.17.0, qui corrige la vulnérabilité Log4Shell, mais laisse la vulnérabilité d'exécution de code à distance (RCE) CVE-2021-44832 non corrigée.
- 32 % des applications utilisent la branche Log4j2 1.2.x, dont le support a pris fin en 2015. Cette branche est affectée par les vulnérabilités critiques CVE-2022-23307, CVE-2022-23305 et CVE-2022-23302, identifiées en 2022 soit 7 ans après la fin de la maintenance.
Source: opennet.ru