Veracode wis nerbitake asil panaliten babagan relevansi kerentanan kritis ing perpustakaan Log4j Java, sing diidentifikasi taun kepungkur lan taun sadurunge. Sawise sinau 38278 aplikasi sing digunakake dening 3866 organisasi, peneliti Veracode nemokake yen 38% saka wong-wong mau nggunakake versi Log4j sing rawan. Alesan utama kanggo terus nggunakake kode warisan yaiku integrasi perpustakaan lawas menyang proyek utawa kerja keras migrasi saka cabang sing ora didhukung menyang cabang anyar sing kompatibel karo mundur (dinilai saka laporan Veracode sadurunge, 79% perpustakaan pihak katelu pindhah menyang proyek. kode ora nate dianyari).
Ana telung kategori utama aplikasi sing nggunakake versi Log4j sing rentan:
- 2.8% aplikasi terus nggunakake versi Log4j saka 2.0-beta9 nganti 2.15.0, sing ngemot kerentanan Log4Shell (CVE-2021-44228).
- 3.8% aplikasi nggunakake rilis Log4j2 2.17.0, sing mbenerake kerentanan Log4Shell, nanging kerentanan eksekusi kode remot (RCE) CVE-2021-44832 ora didandani.
- 32% aplikasi nggunakake cabang Log4j2 1.2.x, dhukungan sing rampung ing 2015. Cabang iki kena pengaruh kerentanan kritis CVE-2022-23307, CVE-2022-23305 lan CVE-2022-23302, sing diidentifikasi ing 2022 7 taun sawise pungkasan pangopènan.
Source: opennet.ru