Veracode ha pubblicato i risultati di uno studio sulla rilevanza delle vulnerabilità critiche nella libreria Java Log4j, identificate l'anno scorso e l'anno prima. Dopo aver studiato 38278 applicazioni utilizzate da 3866 organizzazioni, i ricercatori di Veracode hanno scoperto che il 38% di esse utilizza versioni vulnerabili di Log4j. Il motivo principale per continuare a utilizzare il codice legacy è l'integrazione di vecchie librerie nei progetti o la laboriosità della migrazione da rami non supportati a nuovi rami compatibili con le versioni precedenti (a giudicare da un precedente rapporto Veracode, il 79% delle librerie di terze parti è migrato nel progetto codice non vengono mai aggiornati successivamente).
Esistono tre categorie principali di applicazioni che utilizzano versioni vulnerabili di Log4j:
- Il 2.8% delle applicazioni continua a utilizzare le versioni Log4j dalla 2.0-beta9 alla 2.15.0, che contengono la vulnerabilità Log4Shell (CVE-2021-44228).
- Il 3.8% delle applicazioni utilizza la versione Log4j2 2.17.0, che risolve la vulnerabilità Log4Shell, ma lascia non risolta la vulnerabilità RCE (Remote Code Execution) CVE-2021-44832.
- Il 32% delle applicazioni utilizza il ramo Log4j2 1.2.x, il cui supporto è terminato nel 2015. Questo ramo è affetto da vulnerabilità critiche CVE-2022-23307, CVE-2022-23305 e CVE-2022-23302, identificate nel 2022 7 anni dopo la fine della manutenzione.
Fonte: opennet.ru