Veracode edidit eventus investigationis relevationis criticae vulnerabilitatum in bibliotheca Log4i Java, anno praeterito et anno ante notato. Postquam 38278 applicationes ab 3866 consociationibus perspexerunt, inquisitores Veracode invenerunt 38% eorum versiones vulnerabiles de Log4 uti. Praecipua ratio manendi in codice legato utendi est integratio librariorum veterum in projectiones vel laboriosa migrandi ab ramis sine ramis ad novos ramos retro compatibiles (iudicantes per famam priorem Veracode, 79% librariorum tertiae partis in project commigrandi. Code numquam postea updated).
Tria genera principalia applicationum sunt quae versionibus nudis Log4 utuntur;
- 2.8% applicationum pergunt utere versionibus Log4j ab 2.0-beta9 ad 2.15.0, quae vulnerabilitatem Log4Shell continent (CVE-2021-44228).
- 3.8% applicationum utuntur Log4j2 2.17.0 emissio, quae Log4Shell vulnerabilitatem figit, sed CVE-2021-44832 remotis Codicis exsecutionem (RCE) vulnerabilitatem relinquit.
- 32% applicationum ad ramum Log4j2 1.2.x utendum, subsidium pro quo anno 2015 retractum finivit. Hic ramus vulnerationibus criticis afficitur CVE-2022-23307, CVE-2022-23305 et CVE-2022-23302, qui in 2022 VII annis post finem sustentationis notus est.
Source: opennet.ru