Veracode telah menerbitkan hasil studi tentang relevansi kerentanan kritis di perpustakaan Log4j Java, yang diidentifikasi tahun lalu dan tahun sebelumnya. Setelah mempelajari 38278 aplikasi yang digunakan oleh 3866 organisasi, peneliti Veracode menemukan bahwa 38% di antaranya menggunakan versi Log4j yang rentan. Alasan utama untuk terus menggunakan kode lama adalah integrasi perpustakaan lama ke dalam proyek atau sulitnya melakukan migrasi dari cabang yang tidak didukung ke cabang baru yang kompatibel (dilihat dari laporan Veracode sebelumnya, 79% perpustakaan pihak ketiga bermigrasi ke proyek kode tidak pernah diperbarui selanjutnya).
Ada tiga kategori utama aplikasi yang menggunakan versi Log4j yang rentan:
- 2.8% aplikasi terus menggunakan versi Log4j dari 2.0-beta9 hingga 2.15.0, yang mengandung kerentanan Log4Shell (CVE-2021-44228).
- 3.8% aplikasi menggunakan rilis Log4j2 2.17.0, yang memperbaiki kerentanan Log4Shell, tetapi membiarkan kerentanan eksekusi kode jarak jauh (RCE) CVE-2021-44832 tidak diperbaiki.
- 32% aplikasi menggunakan cabang Log4j2 1.2.x, yang dukungannya berakhir pada tahun 2015. Cabang ini dipengaruhi oleh kerentanan kritis CVE-2022-23307, CVE-2022-23305 dan CVE-2022-23302, yang diidentifikasi pada tahun 2022 7 tahun setelah berakhirnya pemeliharaan.
Sumber: opennet.ru