Veracode huet d'Resultater vun enger Studie iwwer d'Relevanz vu kriteschen Schwächen an der Log4j Java-Bibliothéik publizéiert, d'lescht Joer an d'Joer virdrun identifizéiert. Nom Studium vun 38278 Uwendungen, déi vun 3866 Organisatiounen benotzt goufen, hunn Veracode Fuerscher festgestallt datt 38% vun hinnen vulnerabel Versioune vu Log4j benotzen. Den Haaptgrond fir weider Legacy Code ze benotzen ass d'Integratioun vun alen Bibliothéiken a Projeten oder d'Laboritéit vun der Migratioun vun net ënnerstëtzte Filialen an nei Filialen déi zréckkompatibel sinn (vum fréiere Veracode Bericht beuerteelen, 79% vun Drëtt-Partei Bibliothéiken migréiert an de Projet Code ginn ni méi spéit aktualiséiert).
Et ginn dräi Haaptkategorien vun Uwendungen déi vulnerabel Versioune vu Log4j benotzen:
- 2.8% vun den Uwendungen benotze weider Log4j Versioune vun 2.0-beta9 bis 2.15.0, déi d'Log4Shell Schwachstelle enthalen (CVE-2021-44228).
- 3.8% vun den Uwendungen benotzen d'Log4j2 2.17.0 Verëffentlechung, déi d'Log4Shell Schwachstelle fixéiert, awer d'CVE-2021-44832 Remote Code Execution (RCE) Schwachstelle léisst net fixéieren.
- 32% vun Uwendungen benotzen d'Log4j2 1.2.x Branche, Ënnerstëtzung fir déi am Joer 2015 ofgeschloss ass. Dës Branche ass betraff vu kritesche Schwachstelle CVE-2022-23307, CVE-2022-23305 an CVE-2022-23302, identifizéiert am Joer 2022 7 Joer nom Enn vum Ënnerhalt.
Source: opennet.ru