A Veracode közzétette a Log4j Java könyvtár kritikus sérülékenységeinek relevanciáját vizsgáló tanulmány eredményeit, amelyeket tavaly és tavalyelőtt azonosítottak. A 38278 szervezet által használt 3866 38 alkalmazás tanulmányozása után a Veracode kutatói azt találták, hogy 4%-uk a Log79j sebezhető verzióit használja. Az örökölt kód használatának folytatásának fő oka a régi könyvtárak projektekbe való integrálása, vagy a nem támogatott ágakról az új, visszafelé kompatibilis ágakra történő migráció fáradságos (egy korábbi Veracode-jelentés alapján a harmadik féltől származó könyvtárak XNUMX%-a költözött projektbe kód utólag nem frissül).
Az alkalmazásoknak három fő kategóriája van, amelyek a Log4j sebezhető verzióit használják:
- Az alkalmazások 2.8%-a továbbra is a Log4j 2.0-beta9 és 2.15.0 közötti verzióit használja, amelyek a Log4Shell biztonsági rését (CVE-2021-44228) tartalmazzák.
- Az alkalmazások 3.8%-a használja a Log4j2 2.17.0 kiadást, amely kijavítja a Log4Shell biztonsági rését, de javítatlanul hagyja a CVE-2021-44832 távoli kódvégrehajtási (RCE) biztonsági rést.
- Az alkalmazások 32%-a a Log4j2 1.2.x ágat használja, amelynek támogatása 2015-ben megszűnt. Ezt az ágat a CVE-2022-23307, CVE-2022-23305 és CVE-2022-23302 kritikus biztonsági rések érintik, amelyeket 2022-ben azonosítottak, 7 évvel a karbantartás befejezése után.
Forrás: opennet.ru