Veracode hat de resultaten publisearre fan in stúdzje fan 'e relevânsje fan krityske kwetsberens yn' e Log4j Java-bibleteek, identifisearre ferline jier en it jier derfoar. Nei it bestudearjen fan 38278 applikaasjes brûkt troch 3866 organisaasjes, fûnen Veracode-ûndersikers dat 38% fan harren kwetsbere ferzjes fan Log4j brûke. De wichtichste reden om troch te gean mei it brûken fan legacy koade is de yntegraasje fan âlde bibleteken yn projekten of de moeizaamheid fan migrearjen fan net-stipe tûken nei nije tûken dy't efterút kompatibel binne (beoardielje troch in earder Veracode-rapport, 79% fan biblioteken fan tredden migrearre yn projekt koade wurde nea letter bywurke).
D'r binne trije haadkategoryen fan applikaasjes dy't kwetsbere ferzjes fan Log4j brûke:
- 2.8% fan tapassingen bliuwe Log4j-ferzjes fan 2.0-beta9 oant 2.15.0 brûke, dy't de Log4Shell-kwetsberens befetsje (CVE-2021-44228).
- 3.8% fan applikaasjes brûke de Log4j2 2.17.0-release, dy't de Log4Shell-kwetsberens reparearret, mar de kwetsberens fan CVE-2021-44832 remote code execution (RCE) unfixed lit.
- 32% fan de applikaasjes brûke de Log4j2 1.2.x-tûke, dêr't stipe foar einige yn 2015. Dizze tûke wurdt beynfloede troch krityske kwetsberens CVE-2022-23307, CVE-2022-23305 en CVE-2022-23302, identifisearre yn 2022 7 jier nei it ein fan ûnderhâld.
Boarne: opennet.ru