🥇 Log4j लायब्ररीवर आधारित जावा प्रकल्पांपैकी एक तृतीयांश असुरक्षित आवृत्त्या वापरत आहेत

Veracode ने Log4j Java लायब्ररीतील गंभीर भेद्यतेच्या प्रासंगिकतेच्या अभ्यासाचे परिणाम प्रकाशित केले आहेत, जे गेल्या वर्षी आणि त्याआधी ओळखले गेले होते. 38278 संस्थांद्वारे वापरल्या जाणार्‍या 3866 अनुप्रयोगांचा अभ्यास केल्यानंतर, Veracode संशोधकांना असे आढळले की त्यापैकी 38% Log4j च्या असुरक्षित आवृत्त्या वापरतात. लेगसी कोड वापरणे सुरू ठेवण्याचे मुख्य कारण म्हणजे जुन्या लायब्ररींचे प्रकल्पांमध्ये एकत्रीकरण करणे किंवा असमर्थित शाखांमधून मागास सुसंगत असलेल्या नवीन शाखांमध्ये स्थलांतरित होण्याचे कष्ट (मागील व्हेराकोड अहवालानुसार, 79% तृतीय-पक्षीय लायब्ररी प्रकल्पात स्थलांतरित झाल्या. कोड नंतर कधीही अद्यतनित केला जात नाही).

Log4j च्या असुरक्षित आवृत्त्या वापरणाऱ्या अनुप्रयोगांच्या तीन मुख्य श्रेणी आहेत:

2.8% अनुप्रयोग 4-beta2.0 ते 9 पर्यंत Log2.15.0j आवृत्त्या वापरणे सुरू ठेवतात, ज्यात Log4Shell भेद्यता (CVE-2021-44228) असते.
3.8% ऍप्लिकेशन्स Log4j2 2.17.0 रिलीझ वापरतात, जे Log4Shell भेद्यतेचे निराकरण करते, परंतु CVE-2021-44832 रिमोट कोड एक्झिक्यूशन (RCE) असुरक्षा अनफिक्स ठेवते.
32% अनुप्रयोग Log4j2 1.2.x शाखा वापरतात, ज्यासाठी समर्थन 2015 मध्ये समाप्त झाले. देखभाल संपल्यानंतर 2022 वर्षांनी 23307 मध्ये ओळखल्या गेलेल्या CVE-2022-23305, CVE-2022-23302 आणि CVE-2022-7 या गंभीर असुरक्षिततेमुळे ही शाखा प्रभावित झाली आहे.

स्त्रोत: opennet.ru

Log4j लायब्ररीवर आधारित जावा प्रकल्पांपैकी एक तृतीयांश असुरक्षित आवृत्त्या वापरत आहेत

एक टिप्पणी जोडा Отменить ответ