Veracode dia namoaka ny valin'ny fanadihadiana momba ny maha-zava-dehibe ny vulnerabilities manan-danja ao amin'ny tranomboky Log4j Java, fantatra tamin'ny taon-dasa sy ny taona lasa. Taorian'ny fandalinana ny rindranasa 38278 ampiasain'ny fikambanana 3866, ny mpikaroka Veracode dia nahita fa ny 38% amin'izy ireo dia mampiasa dikan-teny marefo amin'ny Log4j. Ny antony lehibe hanohizana ny fampiasana ny kaody lova dia ny fampidirana ireo tranomboky taloha amin'ny tetikasa na ny asa mafy amin'ny fifindra-monina avy amin'ny sampana tsy tohanana mankany amin'ny sampana vaovao izay mifanaraka amin'ny aoriana (raha tsaraina amin'ny tatitra Veracode teo aloha, 79% amin'ny tranomboky an'ny antoko fahatelo dia nifindra tany amin'ny tetikasa. ny code dia tsy havaozina na oviana na oviana).
Misy sokajy telo lehibe amin'ny rindranasa mampiasa dikan-teny vulnerable an'ny Log4j:
- 2.8% amin'ny fampiharana dia manohy mampiasa dikan-teny Log4j manomboka amin'ny 2.0-beta9 ka hatramin'ny 2.15.0, izay misy ny vulnerability Log4Shell (CVE-2021-44228).
- Ny 3.8% amin'ny fampiharana dia mampiasa ny famoahana Log4j2 2.17.0, izay manamboatra ny vulnerability Log4Shell, fa mamela ny vulnerability CVE-2021-44832 remote code execution (RCE) tsy voavaha.
- Ny 32% amin'ny fampiharana dia mampiasa ny sampana Log4j2 1.2.x, fanohanana izay nifarana tamin'ny taona 2015. Ity sampana ity dia misy fiantraikany amin'ny vulnerabilities CVE-2022-23307, CVE-2022-23305 ary CVE-2022-23302, fantatra tamin'ny 2022 7 taona taorian'ny fiafaran'ny fikojakojana.
Source: opennet.ru