Третина од Java проектите базирани на библиотеката Log4j продолжуваат да користат ранливи верзии

Веракод ги објави резултатите од студијата за релевантноста на критичните пропусти во библиотеката Log4j Java, идентификувани минатата и претходната година. По проучувањето на 38278 апликации користени од 3866 организации, истражувачите на Veracode откриле дека 38% од нив користат ранливи верзии на Log4j. Главната причина за продолжување на користењето на наследниот код е интеграцијата на старите библиотеки во проекти или макотрпноста на миграцијата од неподдржани гранки во нови гранки кои се компатибилни наназад (судејќи според претходниот извештај на Veracode, 79% од библиотеките од трети страни мигрирале во проектот кодот никогаш не се ажурира последователно).

Постојат три главни категории на апликации кои користат ранливи верзии на Log4j:

• 2.8% од апликациите продолжуваат да ги користат верзии на Log4j од 2.0-beta9 до 2.15.0, кои ја содржат ранливоста Log4Shell (CVE-2021-44228).
• 3.8% од апликациите го користат изданието Log4j2 2.17.0, кое ја поправа ранливоста на Log4Shell, но ја остава ранливоста CVE-2021-44832 за далечинско извршување на кодот (RCE) непоправена.
• 32% од апликациите ја користат гранката Log4j2 1.2.x, чија поддршка заврши во 2015 година. Оваа гранка е под влијание на критичните пропусти CVE-2022-23307, CVE-2022-23305 и CVE-2022-23302, идентификувани во 2022 година, 7 години по завршувањето на одржувањето.

Извор: opennet.ru