Veracode je objavio rezultate studije koja ispituje relevantnost kritičnih ranjivosti u Java biblioteci Log4j, identificiranih 2018. i 2019. godine. Nakon što su ispitali 38278 aplikacija koje koristi 3866 organizacija, istraživači Veracodea otkrili su da 38% njih koristi ranjive verzije Log4j-a. Glavni razlozi za nastavak korištenja zastarjelog koda su integracija starih biblioteka u projekte ili radno intenzivna priroda migracije s nepodržanih grana na novije grane koje narušavaju unatrag kompatibilnost (prema prethodnom izvješću Veracodea, 79% projekata koji migriraju biblioteke trećih strana nikada se naknadno ne ažurira).
Identificirane su tri glavne kategorije aplikacija koje koriste ranjive verzije Log4j-a:
- 2.8% aplikacija i dalje koristi Log4j verzije od 2.0-beta9 do 2.15.0, koje sadrže ranjivost Log4Shell (CVE-2021-44228).
- 3.8% aplikacija koristi Log4j2 2.17.0, koji ispravlja ranjivost Log4Shell, ali ostavlja nezakrpanu ranjivost udaljenog izvršavanja koda (RCE) CVE-2021-44832.
- 32% aplikacija koristi granu Log4j2 1.2.x, za koju je podrška završena 2015. godine. Ova grana je ranjiva na kritične ranjivosti CVE-2022-23307, CVE-2022-23305 i CVE-2022-23302, koje su otkrivene 2022. godine, 7 godina nakon završetka podrške.
Izvor: opennet.ru
