Veracode は、昨年と一昨年に特定された Log4j Java ライブラリの重大な脆弱性の関連性に関する調査結果を発表しました。 Veracode の研究者は、38278 の組織で使用されている 3866 のアプリケーションを調査した結果、そのうちの 38% が脆弱なバージョンの Log4j を使用していることを発見しました。 レガシー コードを使い続ける主な理由は、古いライブラリをプロジェクトに統合すること、またはサポートされていないブランチから下位互換性のある新しいブランチに移行する手間がかかることです (以前の Veracode レポートから判断すると、サードパーティ ライブラリの 79% がプロジェクトに移行されました)コードはその後更新されることはありません)。
脆弱なバージョンの Log4j を使用するアプリケーションには、次の XNUMX つの主なカテゴリがあります。
- アプリケーションの 2.8% は、Log4Shell の脆弱性 (CVE-2.0-9) を含む 2.15.0-beta4 から 2021 までの Log44228j バージョンを引き続き使用しています。
- アプリケーションの 3.8% が Log4j2 2.17.0 リリースを使用しており、Log4Shell の脆弱性は修正されていますが、CVE-2021-44832 リモート コード実行 (RCE) の脆弱性は未修正のままです。
- アプリケーションの 32% は Log4j2 1.2.x ブランチを使用していますが、このブランチのサポートは 2015 年に終了しました。 このブランチは、メンテナンス終了から 2022 年後の 23307 年に特定された重大な脆弱性 CVE-2022-23305、CVE-2022-23302、および CVE-2022-7 の影響を受けます。
出所: オープンネット.ru