Veracode publicou os resultados dun estudo sobre a relevancia das vulnerabilidades críticas na biblioteca Log4j Java, identificado o ano pasado e o ano anterior. Despois de estudar 38278 aplicacións utilizadas por 3866 organizacións, os investigadores de Veracode descubriron que o 38% delas usa versións vulnerables de Log4j. O principal motivo para seguir usando código herdado é a integración de bibliotecas antigas nos proxectos ou a laboriosidade de migrar de ramas non compatibles a outras novas compatibles con versións anteriores (a xulgar por un informe anterior de Veracode, o 79% das bibliotecas de terceiros migraron ao proxecto). código nunca se actualizan posteriormente).
Hai tres categorías principais de aplicacións que usan versións vulnerables de Log4j:
- O 2.8 % das aplicacións seguen utilizando versións de Log4j desde a 2.0-beta9 ata a 2.15.0, que conteñen a vulnerabilidade Log4Shell (CVE-2021-44228).
- O 3.8 % das aplicacións usa a versión Log4j2 2.17.0, que corrixe a vulnerabilidade de Log4Shell, pero deixa sen corrixir a vulnerabilidade de execución de código remoto (RCE) CVE-2021-44832.
- O 32 % das aplicacións usan a rama Log4j2 1.2.x, cuxa compatibilidade finalizou en 2015. Esta rama está afectada por vulnerabilidades críticas CVE-2022-23307, CVE-2022-23305 e CVE-2022-23302, identificadas en 2022 7 anos despois do final do mantemento.
Fonte: opennet.ru