Veracode hefur birt niðurstöður rannsóknar á mikilvægi mikilvægra veikleika í Log4j Java bókasafninu, sem greind var í fyrra og árið þar á undan. Eftir að hafa rannsakað 38278 forrit sem 3866 stofnanir nota, komust Veracode vísindamenn að því að 38% þeirra nota viðkvæmar útgáfur af Log4j. Aðalástæðan fyrir því að halda áfram að nota eldri kóða er samþætting gamalla bókasöfna í verkefni eða erfiði þess að flytja úr óstuddum útibúum yfir í ný útibú sem eru afturábaksamhæf (miðað við fyrri Veracode skýrslu fluttu 79% þriðja aðila bókasöfn yfir í verkefnið kóðinn er aldrei uppfærður síðar).
Það eru þrír meginflokkar forrita sem nota viðkvæmar útgáfur af Log4j:
- 2.8% forrita halda áfram að nota Log4j útgáfur frá 2.0-beta9 til 2.15.0, sem innihalda Log4Shell varnarleysið (CVE-2021-44228).
- 3.8% af forritum nota Log4j2 2.17.0 útgáfuna, sem lagar Log4Shell varnarleysið, en skilur CVE-2021-44832 fjarrekstrarkóða (RCE) varnarleysið óuppgert.
- 32% forrita nota Log4j2 1.2.x útibúið, en stuðningi við það lauk árið 2015. Þetta útibú verður fyrir áhrifum af mikilvægum veikleikum CVE-2022-23307, CVE-2022-23305 og CVE-2022-23302, sem greindust árið 2022 7 árum eftir lok viðhalds.
Heimild: opennet.ru