שליש מפרויקטי Java המבוססים על ספריית Log4j ממשיכים להשתמש בגרסאות פגיעות

Veracode פרסמה את התוצאות של מחקר על הרלוונטיות של פגיעויות קריטיות בספריית Log4j Java, שזוהתה בשנה שעברה ובשנה שלפניה. לאחר מחקר של 38278 יישומים המשמשים 3866 ארגונים, חוקרי Veracode גילו ש-38% מהם משתמשים בגרסאות פגיעות של Log4j. הסיבה העיקרית להמשך השימוש בקוד מדור קודם היא השילוב של ספריות ישנות בפרויקטים או העמל שבמעבר מענפים לא נתמכים לענפים חדשים התואמים לאחור (אם לשפוט לפי דוח קודם של Veracode, 79% מהספריות של צד שלישי עברו לפרויקט הקוד לעולם אינו מעודכן לאחר מכן).

ישנן שלוש קטגוריות עיקריות של יישומים המשתמשות בגרסאות פגיעות של Log4j:

• 2.8% מהאפליקציות ממשיכות להשתמש בגרסאות Log4j מ-2.0-beta9 עד 2.15.0, המכילות את הפגיעות של Log4Shell (CVE-2021-44228).
• 3.8% מהיישומים משתמשים במהדורת Log4j2 2.17.0, אשר מתקנת את הפגיעות של Log4Shell, אך משאירה את הפגיעות של ביצוע קוד מרחוק CVE-2021-44832 (RCE) ללא תיקון.
• 32% מהיישומים משתמשים בענף Log4j2 1.2.x, שהתמיכה בו הסתיימה עוד ב-2015. ענף זה מושפע מפגיעויות קריטיות CVE-2022-23307, CVE-2022-23305 ו-CVE-2022-23302, שזוהו בשנת 2022 7 שנים לאחר סיום התחזוקה.

מקור: OpenNet.ru