Veracode өткөн жылы жана мурунку жылы аныкталган Log4j Java китепканасындагы критикалык алсыздыктардын актуалдуулугун изилдөөнүн жыйынтыгын жарыялады. 38278 уюм колдонгон 3866 тиркемени изилдеп чыккандан кийин Veracode изилдөөчүлөрү алардын 38% Log4jдин аялуу версияларын колдонорун аныкташкан. Эски кодду колдонууну улантуунун негизги себеби - эски китепканаларды долбоорлорго интеграциялоо же колдоого алынбаган филиалдардан артка шайкеш келген жаңы филиалдарга өтүүнүн түйшүктүүлүгү (мурунку Veracode отчетуна ылайык, үчүнчү тараптын китепканаларынын 79% долбоорго көчүрүлгөн код эч качан кийинчерээк жаңыртылбайт).
Log4jдин аялуу версияларын колдонгон тиркемелердин үч негизги категориясы бар:
- Колдонмолордун 2.8% Log4Shell аялуулугун (CVE-2.0-9) камтыган 2.15.0-beta4дан 2021го чейинки Log44228j версияларын колдонууну улантууда.
- Колдонмолордун 3.8% Log4j2 2.17.0 чыгарылышын колдонушат, ал Log4Shell аялуулугун оңдойт, бирок CVE-2021-44832 алыстан коддун аткарылышынын (RCE) кемчилиги оңдолбогон бойдон калат.
- Колдонмолордун 32% Log4j2 1.2.x бутагын колдонушат, аны колдоо 2015-жылы аяктаган. Бул тармакка техникалык тейлөө аяктагандан 2022 жыл өткөндөн кийин 23307-жылы аныкталган CVE-2022-23305, CVE-2022-23302 жана CVE-2022-7 олуттуу кемчиликтери таасир этет.
Source: opennet.ru