Veracode өнгөрсөн жил болон өмнөх жил нь тодорхойлсон Log4j Java номын сан дахь чухал эмзэг байдлын талаарх судалгааны үр дүнг нийтлэв. Веракодын судлаачид 38278 байгууллагын ашигладаг 3866 програмыг судалсны дараа тэдний 38% нь Log4j-ийн эмзэг хувилбарыг ашигладаг болохыг тогтоожээ. Хуучны кодыг үргэлжлүүлэн ашиглах гол шалтгаан нь хуучин номын санг төслүүдэд нэгтгэх эсвэл дэмжигдээгүй салбаруудаас хоцрогдсон нийцтэй шинэ салбарууд руу шилжихэд маш их ачаалалтай байдаг (өмнөх Veracode тайлангаас харахад гуравдагч талын номын сангуудын 79% нь төсөл рүү шилжсэн байна) код дараа нь хэзээ ч шинэчлэгдээгүй).
Log4j-ийн эмзэг хувилбаруудыг ашигладаг гурван үндсэн ангилал байдаг:
- Аппликешнүүдийн 2.8% нь Log4Shell-ийн эмзэг байдлыг (CVE-2.0-9) агуулсан 2.15.0-beta4-аас 2021 хүртэлх Log44228j хувилбаруудыг үргэлжлүүлэн ашиглаж байна.
- Аппликейшнүүдийн 3.8% нь Log4j2 2.17.0 хувилбарыг ашигладаг бөгөөд энэ нь Log4Shell-ийн эмзэг байдлыг засдаг боловч CVE-2021-44832 алсын кодыг гүйцэтгэх (RCE) эмзэг байдлыг засаагүй хэвээр үлдээдэг.
- Хэрэглээний 32% нь Log4j2 1.2.x салбарыг ашигладаг бөгөөд дэмжлэг нь 2015 онд дууссан. Энэ салбар нь засвар үйлчилгээ дууссанаас хойш 2022 жилийн дараа 23307 онд тодорхойлсон CVE-2022-23305, CVE-2022-23302 болон CVE-2022-7 чухал эмзэг байдалд өртөж байна.
Эх сурвалж: opennet.ru