Veracode-ը հրապարակել է անցյալ և մեկ տարի առաջ Log4j Java գրադարանի կարևոր խոցելիության վերաբերյալ ուսումնասիրության արդյունքները: Ուսումնասիրելով 38278 կազմակերպությունների կողմից օգտագործվող 3866 հավելվածներ՝ Veracode-ի հետազոտողները պարզել են, որ դրանց 38%-ն օգտագործում է Log4j-ի խոցելի տարբերակները։ Հնացած ծածկագրի օգտագործումը շարունակելու հիմնական պատճառը հին գրադարանների ինտեգրումն է նախագծերին կամ չաջակցվող մասնաճյուղերից նոր մասնաճյուղեր տեղափոխելու դժվարությունը, որոնք հետ համատեղելի են (դատելով նախորդ Veracode զեկույցից՝ երրորդ կողմի գրադարանների 79%-ը տեղափոխվել է նախագիծ։ ծածկագիրը երբեք չի թարմացվում):
Կան հավելվածների երեք հիմնական կատեգորիա, որոնք օգտագործում են Log4j-ի խոցելի տարբերակները.
- Հավելվածների 2.8%-ը շարունակում է օգտագործել Log4j տարբերակները 2.0-beta9-ից մինչև 2.15.0, որոնք պարունակում են Log4Shell խոցելիությունը (CVE-2021-44228):
- Հավելվածների 3.8%-ն օգտագործում է Log4j2 2.17.0 թողարկումը, որը շտկում է Log4Shell խոցելիությունը, բայց թողնում է CVE-2021-44832 հեռակա կոդի կատարման (RCE) խոցելիությունը։
- Հավելվածների 32%-ն օգտագործում է Log4j2 1.2.x մասնաճյուղը, որի աջակցությունն ավարտվել է դեռևս 2015 թվականին։ Այս ճյուղի վրա ազդում են CVE-2022-23307, CVE-2022-23305 և CVE-2022-23302 կրիտիկական խոցելիությունները, որոնք հայտնաբերվել են 2022 թվականին սպասարկման ավարտից 7 տարի անց:
Source: opennet.ru