Veracode ta buga sakamakon binciken da ya dace na rashin lahani mai mahimmanci a cikin ɗakin karatu na Log4j Java, wanda aka gano a bara da shekarar da ta gabata. Bayan nazarin aikace-aikacen 38278 da ƙungiyoyi 3866 ke amfani da su, masu binciken Veracode sun gano cewa 38% daga cikinsu suna amfani da nau'ikan Log4j masu rauni. Babban dalilin ci gaba da yin amfani da lambar gado shine haɗa tsoffin ɗakunan karatu cikin ayyukan ko kuma rikitarwa na ƙaura daga rassan da ba su da tallafi zuwa sabbin rassan da suka dace da baya (laƙanta da rahoton Veracode da ya gabata, 79% na ɗakunan karatu na ɓangare na uku sun ƙaura zuwa aikin. code ba a sabunta).
Akwai manyan nau'ikan aikace-aikace guda uku waɗanda ke amfani da nau'ikan Log4j masu rauni:
- 2.8% na aikace-aikacen suna ci gaba da amfani da nau'ikan Log4j daga 2.0-beta9 zuwa 2.15.0, waɗanda ke ɗauke da raunin Log4Shell (CVE-2021-44228).
- 3.8% na aikace-aikacen suna amfani da sakin Log4j2 2.17.0, wanda ke gyara raunin Log4Shell, amma ya bar rashin lafiyar CVE-2021-44832 mai nisa (RCE).
- 32% na aikace-aikacen suna amfani da reshen Log4j2 1.2.x, tallafi wanda ya ƙare a cikin 2015. Wannan reshe yana fama da mummunan rauni CVE-2022-23307, CVE-2022-23305 da CVE-2022-23302, waɗanda aka gano a cikin 2022 7 shekaru bayan ƙarshen kiyayewa.
source: budenet.ru