Veracode je objavio rezultate studije o važnosti kritičnih ranjivosti u Log4j Java biblioteci, identificiranih prošle i pretprošle godine. Nakon proučavanja 38278 aplikacija koje koristi 3866 organizacija, Veracode istraživači otkrili su da 38% njih koristi ranjive verzije Log4j. Glavni razlog za nastavak korištenja naslijeđenog koda je integracija starih knjižnica u projekte ili zahtjevnost migracije s nepodržanih grana na nove grane koje su kompatibilne s prethodnim verzijama (sudeći prema prethodnom izvješću Veracodea, 79% knjižnica trećih strana migriralo je u projekt kod se nikada naknadno ne ažurira).
Postoje tri glavne kategorije aplikacija koje koriste ranjive verzije Log4j-a:
- 2.8% aplikacija nastavlja koristiti Log4j verzije od 2.0-beta9 do 2.15.0, koje sadrže ranjivost Log4Shell (CVE-2021-44228).
- 3.8% aplikacija koristi izdanje Log4j2 2.17.0, koje popravlja ranjivost Log4Shell, ali ostavlja ranjivost CVE-2021-44832 daljinsko izvršavanje koda (RCE) neispravljenom.
- 32% aplikacija koristi granu Log4j2 1.2.x, čija je podrška prestala još 2015. Na ovu granu utječu kritične ranjivosti CVE-2022-23307, CVE-2022-23305 i CVE-2022-23302, identificirane 2022. godine 7 godina nakon završetka održavanja.
Izvor: opennet.ru