Veracode encamên lêkolînek li ser têkildariya qelsiyên krîtîk ên di pirtûkxaneya Log4j Java de, ku sala borî û salek berê hatî nas kirin, weşand. Piştî lêkolîna 38278 serîlêdanên ku ji hêla 3866 rêxistinan ve têne bikar anîn, lêkolînerên Veracode dît ku 38% ji wan guhertoyên xedar ên Log4j bikar tînin. Sedema bingehîn a domandina karanîna koda mîras yekbûna pirtûkxaneyên kevn di projeyan de an jî keda koçkirina ji şaxên bêpiştgir berbi şaxên nû yên ku bi paşverû re hevaheng in e (li gorî raporek berê ya Veracode dadbar kirin, 79% ji pirtûkxaneyên partiya sêyemîn koçî projeyê kirin kod tu carî paşê nayê nûve kirin).
Sê kategoriyên sereke yên sepanan hene ku guhertoyên xedar ên Log4j bikar tînin:
- 2.8% ji sepanan berdewam dikin ku guhertoyên Log4j ji 2.0-beta9 heya 2.15.0 bikar bînin, ku di nav wan de qelsiya Log4Shell (CVE-2021-44228) heye.
- 3.8% ji sepanan serbestberdana Log4j2 2.17.0 bikar tînin, ku qelsiya Log4Shell rast dike, lê qelsiya darvekirina koda ji dûr a CVE-2021-44832 (RCE) bêserûber dihêle.
- 32% ji sepanan şaxê Log4j2 1.2.x bikar tînin, ku piştgirî di sala 2015-an de qediya. Ev şax bi qelsiyên krîtîk CVE-2022-23307, CVE-2022-23305 û CVE-2022-23302, ku di sala 2022-an de 7 sal piştî bidawîbûna lênihêrînê hatine nas kirin, bandor dibe.
Source: opennet.ru