Veracode telah menerbitkan hasil kajian tentang perkaitan kelemahan kritikal dalam perpustakaan Java Log4j, yang dikenal pasti tahun lepas dan tahun sebelumnya. Selepas mengkaji 38278 aplikasi yang digunakan oleh 3866 organisasi, penyelidik Veracode mendapati bahawa 38% daripada mereka menggunakan versi Log4j yang terdedah. Sebab utama untuk terus menggunakan kod warisan ialah penyepaduan perpustakaan lama ke dalam projek atau kepayahan berhijrah daripada cawangan yang tidak disokong kepada cawangan baharu yang serasi ke belakang (berdasarkan laporan Veracode sebelumnya, 79% daripada perpustakaan pihak ketiga berhijrah ke dalam projek kod tidak pernah dikemas kini kemudiannya).
Terdapat tiga kategori utama aplikasi yang menggunakan versi Log4j yang terdedah:
- 2.8% aplikasi terus menggunakan versi Log4j daripada 2.0-beta9 hingga 2.15.0, yang mengandungi kelemahan Log4Shell (CVE-2021-44228).
- 3.8% aplikasi menggunakan keluaran Log4j2 2.17.0, yang membetulkan kelemahan Log4Shell, tetapi membiarkan kerentanan pelaksanaan kod jauh (RCE) CVE-2021-44832 tidak dibetulkan.
- 32% daripada aplikasi menggunakan cawangan Log4j2 1.2.x, sokongan yang telah berakhir pada tahun 2015. Cawangan ini terjejas oleh kerentanan kritikal CVE-2022-23307, CVE-2022-23305 dan CVE-2022-23302, yang dikenal pasti pada 2022 7 tahun selepas tamat penyelenggaraan.
Sumber: opennet.ru