Veracode ppubblikat ir-riżultati ta 'studju tar-rilevanza ta' vulnerabbiltajiet kritiċi fil-librerija Log4j Java, identifikati s-sena li għaddiet u s-sena ta 'qabel. Wara li studjaw 38278 applikazzjoni użati minn 3866 organizzazzjoni, ir-riċerkaturi ta 'Veracode sabu li 38% minnhom jużaw verżjonijiet vulnerabbli ta' Log4j. Ir-raġuni ewlenija għat-tkomplija tal-użu tal-kodiċi tal-legat hija l-integrazzjoni ta’ libreriji qodma fi proġetti jew il-ħidma impenjattiva tal-migrazzjoni minn fergħat mhux appoġġjati għal fergħat ġodda li huma kompatibbli b’lura (ġġudikati minn rapport preċedenti ta’ Veracode, 79% tal-libreriji ta’ partijiet terzi emigraw fil-proġett. kodiċi qatt ma jiġu aġġornati sussegwentement).
Hemm tliet kategoriji ewlenin ta' applikazzjonijiet li jużaw verżjonijiet vulnerabbli ta' Log4j:
- 2.8% tal-applikazzjonijiet ikomplu jużaw verżjonijiet Log4j minn 2.0-beta9 sa 2.15.0, li fihom il-vulnerabbiltà Log4Shell (CVE-2021-44228).
- 3.8% tal-applikazzjonijiet jużaw ir-rilaxx Log4j2 2.17.0, li jiffissa l-vulnerabbiltà Log4Shell, iżda jħalli l-vulnerabbiltà CVE-2021-44832 tal-eżekuzzjoni tal-kodiċi remot (RCE) mhux iffissat.
- 32% tal-applikazzjonijiet jużaw il-fergħa Log4j2 1.2.x, li l-appoġġ għaliha ntemmet lura fl-2015. Din il-fergħa hija affettwata minn vulnerabbiltajiet kritiċi CVE-2022-23307, CVE-2022-23305 u CVE-2022-23302, identifikati fl-2022 7 snin wara t-tmiem tal-manutenzjoni.
Sors: opennet.ru