Log4j 라이브러리를 기반으로 하는 Java 프로젝트의 XNUMX분의 XNUMX은 취약한 버전을 계속 사용합니다.

Veracode는 작년과 전년에 확인된 Log4j Java 라이브러리의 심각한 취약점의 관련성에 대한 연구 결과를 발표했습니다. Veracode 연구원들은 38278개 조직에서 사용하는 3866개 애플리케이션을 연구한 결과, 그 중 38%가 취약한 Log4j 버전을 사용하고 있음을 발견했습니다. 레거시 코드를 계속 사용하는 주된 이유는 이전 라이브러리를 프로젝트에 통합하거나 지원되지 않는 분기에서 이전 버전과 호환되는 새 분기로 마이그레이션하는 데 수고가 들기 때문입니다(이전 Veracode 보고서에 따르면 타사 라이브러리의 79%가 프로젝트로 마이그레이션됨). 코드는 이후에 업데이트되지 않습니다).

취약한 Log4j 버전을 사용하는 애플리케이션에는 세 가지 주요 범주가 있습니다.

• 2.8%의 애플리케이션은 Log4Shell 취약점(CVE-2.0-9)이 포함된 Log2.15.0j 버전 4-beta2021부터 44228까지 계속 사용합니다.
• 3.8%의 애플리케이션은 Log4Shell 취약점을 수정하지만 CVE-2-2.17.0 원격 코드 실행(RCE) 취약점은 수정되지 않은 Log4j2021 44832 릴리스를 사용합니다.
• 애플리케이션의 32%는 4년에 지원이 종료된 Log2j1.2 2015.x 브랜치를 사용합니다. 이 브랜치는 점검 종료 2022년 후인 23307년에 확인된 심각한 취약점 CVE-2022-23305, CVE-2022-23302, CVE-2022-7의 영향을 받습니다.

출처 : opennet.ru