Tha Veracode air toraidhean sgrùdadh fhoillseachadh air iomchaidheachd so-leòntachd èiginneach ann an leabharlann Log4j Java, a chaidh a chomharrachadh an-uiridh agus a’ bhliadhna roimhe. Às deidh dhaibh sgrùdadh a dhèanamh air 38278 tagradh air an cleachdadh le buidhnean 3866, lorg luchd-rannsachaidh Veracode gu bheil 38% dhiubh a’ cleachdadh dreachan so-leònte de Log4j. Is e am prìomh adhbhar airson leantainn air adhart a’ cleachdadh còd dìleab a bhith ag amalachadh seann leabharlannan ann am pròiseactan no cho dìcheallach ‘s a tha gluasad bho mheuran gun taic gu meuran ùra a tha co-chosmhail air ais (a’ breithneachadh le aithisg Veracode roimhe, chaidh 79% de leabharlannan treas-phàrtaidh a-steach don phròiseact. cha tèid an còd ùrachadh às deidh sin).
Tha trì prìomh roinnean de thagraidhean ann a bhios a’ cleachdadh dreachan so-leònte de Log4j:
- Tha 2.8% de thagraidhean a’ leantainn air adhart a’ cleachdadh tionndaidhean Log4j bho 2.0-beta9 gu 2.15.0, anns a bheil so-leòntachd Log4Shell (CVE-2021-44228).
- Bidh 3.8% de thagraidhean a’ cleachdadh an sgaoileadh Log4j2 2.17.0, a shocraicheas so-leòntachd Log4Shell, ach a dh’ fhàgas so-leòntachd cur an gnìomh còd iomallach CVE-2021-44832 (RCE) gun atharrachadh.
- Bidh 32% de thagraidhean a’ cleachdadh meur Log4j2 1.2.x, a thàinig gu crìch air ais ann an 2015. Tha buaidh aig a’ mheur seo air so-leòntachd èiginneach CVE-2022-23307, CVE-2022-23305 agus CVE-2022-23302, a chaidh a chomharrachadh ann an 2022 7 bliadhna às deidh deireadh cumail suas.
Source: fosgailtenet.ru