Veracode өткен жылы және алдыңғы жылы анықталған Log4j Java кітапханасындағы маңызды осалдықтардың өзектілігін зерттеу нәтижелерін жариялады. 38278 ұйым пайдаланатын 3866 қосымшаны зерттегеннен кейін Veracode зерттеушілері олардың 38% Log4j осал нұсқаларын пайдаланатынын анықтады. Бұрынғы кодты пайдалануды жалғастырудың негізгі себебі - ескі кітапханаларды жобаларға біріктіру немесе қолдау көрсетілмейтін филиалдардан артқа қарай үйлесімді жаңа филиалдарға көшудің қиындығы (алдыңғы Veracode есебі бойынша, үшінші тарап кітапханаларының 79% жобаға көшірілді) код кейіннен ешқашан жаңартылмайды).
Log4j осал нұсқаларын пайдаланатын қолданбалардың үш негізгі санаты бар:
- Қолданбалардың 2.8%-ы Log4Shell осалдығын (CVE-2.0-9) қамтитын 2.15.0-beta4-дан 2021-ге дейінгі Log44228j нұсқаларын пайдалануды жалғастыруда.
- Қолданбалардың 3.8%-ы Log4Shell осалдығын түзететін Log2j2.17.0 4 шығарылымын пайдаланады, бірақ CVE-2021-44832 қашықтан кодты орындау (RCE) осалдығын түзетілмеген қалдырады.
- Қолданбалардың 32%-ы Log4j2 1.2.x тармағын пайдаланады, қолдау 2015 жылы аяқталды. Бұл филиалға техникалық қызмет көрсету аяқталғаннан кейін 2022 жылдан кейін 23307 жылы анықталған CVE-2022-23305, CVE-2022-23302 және CVE-2022-7 сыни осалдықтары әсер етеді.
Ақпарат көзі: opennet.ru