Log4j ბიბლიოთეკაზე დაფუძნებული Java პროექტების მესამედი აგრძელებს დაუცველი ვერსიების გამოყენებას

Veracode-მ გამოაქვეყნა Log4j Java ბიბლიოთეკაში კრიტიკული დაუცველობების შესაბამისობის კვლევის შედეგები, რომელიც გამოვლინდა გასულ წელს და წინა წელს. 38278 ორგანიზაციის მიერ გამოყენებული 3866 აპლიკაციის შესწავლის შემდეგ, Veracode-ის მკვლევარებმა დაადგინეს, რომ მათი 38% იყენებს Log4j-ის დაუცველ ვერსიებს. მემკვიდრეობითი კოდის გამოყენების გაგრძელების მთავარი მიზეზი არის ძველი ბიბლიოთეკების პროექტებში ინტეგრაცია ან მხარდაჭერილი ფილიალებიდან ახალ ფილიალებში მიგრაციის შრომატევადი მიგრაცია, რომლებიც თავსებადია უკან (ვიმსჯელებთ წინა Veracode ანგარიშით, მესამე მხარის ბიბლიოთეკების 79% გადავიდა პროექტში. კოდი არასოდეს არ განახლდება).

არსებობს აპლიკაციების სამი ძირითადი კატეგორია, რომლებიც იყენებენ Log4j-ის დაუცველ ვერსიებს:

• აპლიკაციების 2.8% აგრძელებს Log4j ვერსიების გამოყენებას 2.0-beta9-დან 2.15.0-მდე, რომლებიც შეიცავს Log4Shell დაუცველობას (CVE-2021-44228).
• აპლიკაციების 3.8% იყენებს Log4j2 2.17.0 გამოშვებას, რომელიც ასწორებს Log4Shell დაუცველობას, მაგრამ ტოვებს CVE-2021-44832 დისტანციური კოდის შესრულების (RCE) დაუცველობას.
• აპლიკაციების 32% იყენებს Log4j2 1.2.x ფილიალს, რომლის მხარდაჭერა 2015 წელს დასრულდა. ამ ფილიალზე გავლენას ახდენს კრიტიკული დაუცველობა CVE-2022-23307, CVE-2022-23305 და CVE-2022-23302, გამოვლენილი 2022 წელს, ტექნიკური მომსახურების დასრულებიდან 7 წლის შემდეგ.

წყარო: opennet.ru