Veracode ir publicējis pētījuma rezultātus par Log4j Java bibliotēkas kritisko ievainojamību, kas tika identificētas pagājušajā un aizpērn. Izpētot 38278 3866 lietojumprogrammas, kuras izmanto 38 organizācijas, Veracode pētnieki atklāja, ka 4% no tām izmanto ievainojamās Log79j versijas. Galvenais iemesls mantotā koda izmantošanas turpināšanai ir veco bibliotēku integrēšana projektos vai darbietilpīgā migrācija no neatbalstītām filiālēm uz jaunām filiālēm, kas ir saderīgas ar atpakaļejošu datumu (spriežot pēc iepriekšējā Veracode ziņojuma, XNUMX% trešo pušu bibliotēku migrēja uz projektu. kods nekad pēc tam netiek atjaunināts).
Ir trīs galvenās lietojumprogrammu kategorijas, kas izmanto ievainojamās Log4j versijas:
- 2.8% lietojumprogrammu turpina izmantot Log4j versijas no 2.0-beta9 līdz 2.15.0, kurās ir Log4Shell ievainojamība (CVE-2021-44228).
- 3.8% lietojumprogrammu izmanto Log4j2 2.17.0 laidienu, kas novērš Log4Shell ievainojamību, bet atstāj nenovērstu CVE-2021-44832 attālās koda izpildes (RCE) ievainojamību.
- 32% lietojumprogrammu izmanto Log4j2 1.2.x filiāli, kuras atbalsts beidzās 2015. gadā. Šo atzaru ietekmē kritiskās ievainojamības CVE-2022-23307, CVE-2022-23305 un CVE-2022-23302, kas identificētas 2022. gadā 7 gadus pēc apkopes beigām.
Avots: opennet.ru