ಕಳೆದ ವರ್ಷ ಮತ್ತು ಹಿಂದಿನ ವರ್ಷ ಗುರುತಿಸಲಾದ Log4j ಜಾವಾ ಲೈಬ್ರರಿಯಲ್ಲಿನ ನಿರ್ಣಾಯಕ ದೋಷಗಳ ಪ್ರಸ್ತುತತೆಯ ಅಧ್ಯಯನದ ಫಲಿತಾಂಶಗಳನ್ನು ವೆರಾಕೋಡ್ ಪ್ರಕಟಿಸಿದೆ. 38278 ಸಂಸ್ಥೆಗಳು ಬಳಸಿದ 3866 ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡಿದ ನಂತರ, ವೆರಾಕೋಡ್ ಸಂಶೋಧಕರು 38% ರಷ್ಟು Log4j ನ ದುರ್ಬಲ ಆವೃತ್ತಿಗಳನ್ನು ಬಳಸುತ್ತಾರೆ ಎಂದು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ. ಲೆಗಸಿ ಕೋಡ್ ಅನ್ನು ಮುಂದುವರೆಸಲು ಮುಖ್ಯ ಕಾರಣವೆಂದರೆ ಹಳೆಯ ಗ್ರಂಥಾಲಯಗಳನ್ನು ಯೋಜನೆಗಳಲ್ಲಿ ಏಕೀಕರಣಗೊಳಿಸುವುದು ಅಥವಾ ಬೆಂಬಲವಿಲ್ಲದ ಶಾಖೆಗಳಿಂದ ಹಿಂದುಳಿದ ಹೊಂದಾಣಿಕೆಯ ಹೊಸ ಶಾಖೆಗಳಿಗೆ ವಲಸೆ ಹೋಗುವ ಶ್ರಮ (ಹಿಂದಿನ ವೆರಾಕೋಡ್ ವರದಿಯ ಪ್ರಕಾರ, 79% ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಗ್ರಂಥಾಲಯಗಳು ಪ್ರಾಜೆಕ್ಟ್ಗೆ ವಲಸೆ ಹೋಗಿವೆ. ಕೋಡ್ ಅನ್ನು ತರುವಾಯ ನವೀಕರಿಸಲಾಗುವುದಿಲ್ಲ).
Log4j ನ ದುರ್ಬಲ ಆವೃತ್ತಿಗಳನ್ನು ಬಳಸುವ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೂರು ಮುಖ್ಯ ವರ್ಗಗಳಿವೆ:
- 2.8% ಅಪ್ಲಿಕೇಶನ್ಗಳು Log4j ಆವೃತ್ತಿಗಳನ್ನು 2.0-beta9 ನಿಂದ 2.15.0 ವರೆಗೆ ಬಳಸುವುದನ್ನು ಮುಂದುವರೆಸುತ್ತವೆ, ಇದು Log4Shell ದುರ್ಬಲತೆಯನ್ನು (CVE-2021-44228) ಒಳಗೊಂಡಿರುತ್ತದೆ.
- 3.8% ಅಪ್ಲಿಕೇಶನ್ಗಳು Log4j2 2.17.0 ಬಿಡುಗಡೆಯನ್ನು ಬಳಸುತ್ತವೆ, ಇದು Log4Shell ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸುತ್ತದೆ, ಆದರೆ CVE-2021-44832 ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ (RCE) ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸದೆ ಬಿಡುತ್ತದೆ.
- 32% ಅಪ್ಲಿಕೇಶನ್ಗಳು Log4j2 1.2.x ಶಾಖೆಯನ್ನು ಬಳಸುತ್ತವೆ, ಇದಕ್ಕೆ ಬೆಂಬಲವು 2015 ರಲ್ಲಿ ಕೊನೆಗೊಂಡಿತು. ಈ ಶಾಖೆಯು ನಿರ್ಣಾಯಕ ದೋಷಗಳಿಂದ ಪ್ರಭಾವಿತವಾಗಿದೆ CVE-2022-23307, CVE-2022-23305 ಮತ್ತು CVE-2022-23302, ನಿರ್ವಹಣೆಯ ಅಂತ್ಯದ 2022 ವರ್ಷಗಳ ನಂತರ 7 ರಲ್ಲಿ ಗುರುತಿಸಲಾಗಿದೆ.
ಮೂಲ: opennet.ru