D'fhoilsigh Veracode torthaí staidéir ar ábharthacht na leochaileachtaí ríthábhachtacha i leabharlann Log4j Java, a aithníodh anuraidh agus an bhliain roimhe sin. Tar éis staidéar a dhéanamh ar 38278 feidhmchlár a d’úsáid 3866 eagraíocht, fuair taighdeoirí Veracode go n-úsáideann 38% díobh leaganacha leochaileacha de Log4j. Is í an phríomhchúis le leanúint ar aghaidh le húsáid an chóid oidhreachta ná comhtháthú na seanleabharlainne i dtionscadail nó an tsaothair a bhaineann le haistriú ó bhrainsí gan tacaíocht go brainsí nua atá comhoiriúnach ar gcúl (de réir tuarascála Veracode roimhe seo, aistríodh 79% de leabharlanna tríú páirtí isteach sa tionscadal. ní nuashonraítear cód ina dhiaidh sin).
Tá trí phríomhchatagóir feidhmchlár ann a úsáideann leaganacha leochaileacha de Log4j:
- Leanann 2.8% d’iarratais ar aghaidh ag úsáid leaganacha Log4j ó 2.0-beta9 go 2.15.0, ina bhfuil leochaileacht Log4Shell (CVE-2021-44228).
- Úsáideann 3.8% d’iarratais an scaoileadh Log4j2 2.17.0, rud a shocraíonn leochaileacht Log4Shell, ach a fhágann leochaileacht forghníomhaithe cód iargúlta CVE-2021-44832 (RCE) gan shocrú.
- Úsáideann 32% d’iarratais an brainse Log4j2 1.2.x, ar tháinig deireadh lena tacaíocht in 2015. Tá tionchar ag leochaileachtaí ríthábhachtacha CVE-2022-23307, CVE-2022-23305 agus CVE-2022-23302 ar an mbrainse seo, a aithníodh i 2022 7 mbliana tar éis dheireadh na cothabhála.
Foinse: oscailtenet.ru