Veracode te pibliye rezilta yon etid sou enpòtans frajilite kritik yo nan bibliyotèk Log4j Java, idantifye ane pase a ak ane anvan an. Apre etidye 38278 aplikasyon ki itilize pa òganizasyon 3866, chèchè Veracode yo te jwenn ke 38% nan yo itilize vèsyon vilnerab nan Log4j. Rezon prensipal pou kontinye sèvi ak kòd eritaj se entegrasyon ansyen bibliyotèk yo nan pwojè oswa travayè pou imigre soti nan branch ki pa sipòte yo nan nouvo branch ki konpatib bak (jije dapre yon rapò Veracode anvan, 79% nan bibliyotèk twazyèm pati te imigre nan pwojè a). Kòd yo pa janm mete ajou apre sa).
Gen twa kategori prensipal aplikasyon ki itilize vèsyon vilnerab Log4j:
- 2.8% aplikasyon yo kontinye sèvi ak vèsyon Log4j soti nan 2.0-beta9 rive nan 2.15.0, ki genyen vilnerabilite Log4Shell (CVE-2021-44228).
- 3.8% nan aplikasyon yo sèvi ak lage Log4j2 2.17.0, ki ranje vilnerabilite Log4Shell, men li kite vilnerabilite nan ekzekisyon kòd aleka CVE-2021-44832 (RCE) san fikse.
- 32% nan aplikasyon yo itilize Log4j2 1.2.x branch, sipò pou ki te fini tounen nan 2015. Branch sa a afekte pa vilnerabilite kritik CVE-2022-23307, CVE-2022-23305 ak CVE-2022-23302, idantifye nan 2022 7 ane apre fen antretyen.
Sous: opennet.ru