„Veracode“ paskelbė „Log4j Java“ bibliotekos kritinių spragų, nustatytų pernai ir užpernai, tyrimo rezultatus. Ištyrę 38278 3866 programas, kurias naudoja 38 4 organizacijos, „Veracode“ mokslininkai nustatė, kad 79% jų naudoja pažeidžiamas „LogXNUMXj“ versijas. Pagrindinė priežastis, kodėl ir toliau naudojamas senas kodas, yra senų bibliotekų integravimas į projektus arba sunkus perėjimas iš nepalaikomų filialų į naujas, atgaline data suderinamas šakas (remiantis ankstesne Veracode ataskaita, XNUMX % trečiųjų šalių bibliotekų perėjo į projektą kodas vėliau niekada neatnaujinamas).
Yra trys pagrindinės programų kategorijos, kuriose naudojamos pažeidžiamos Log4j versijos:
- 2.8 % programų ir toliau naudoja Log4j versijas nuo 2.0-beta9 iki 2.15.0, kuriose yra Log4Shell pažeidžiamumas (CVE-2021-44228).
- 3.8 % programų naudoja Log4j2 2.17.0 leidimą, kuris pataiso Log4Shell pažeidžiamumą, bet nepataiso CVE-2021-44832 nuotolinio kodo vykdymo (RCE) pažeidžiamumo.
- 32% programų naudoja Log4j2 1.2.x šaką, kurios palaikymas baigėsi 2015 m. Šiai šakai įtakos turi kritiniai pažeidžiamumai CVE-2022-23307, CVE-2022-23305 ir CVE-2022-23302, nustatyti 2022 m. praėjus 7 metams po priežiūros pabaigos.
Šaltinis: opennet.ru