Veracode သည် ယမန်နှစ်နှင့်ယခင်နှစ်က သတ်မှတ်ခဲ့သော Log4j Java စာကြည့်တိုက်ရှိ အရေးပါသော အားနည်းချက်များ၏ ဆက်စပ်မှုဆိုင်ရာ လေ့လာမှုတစ်ခု၏ ရလဒ်များကို ထုတ်ပြန်ခဲ့သည်။ အဖွဲ့အစည်းပေါင်း 38278 မှ အသုံးပြုသည့် application 3866 ခုကို လေ့လာပြီးနောက် Veracode သုတေသီများက ၎င်းတို့ထဲမှ 38% သည် Log4j ၏ အားနည်းချက်ရှိသော ဗားရှင်းများကို အသုံးပြုကြောင်း တွေ့ရှိခဲ့သည်။ အမွေအနှစ်ကုဒ်ကို ဆက်လက်အသုံးပြုရခြင်း၏ အဓိကအကြောင်းရင်းမှာ စာကြည့်တိုက်ဟောင်းများကို ပရောဂျက်များအဖြစ် ပေါင်းစည်းခြင်း သို့မဟုတ် ပံ့ပိုးမထားသော အကိုင်းအခက်များမှ နောက်ပြန်လိုက်ဖက်သော ဘဏ်ခွဲအသစ်များသို့ ပြောင်းရွှေ့ခြင်း၏ ပင်ပန်းမှု (ယခင် Veracode အစီရင်ခံစာအရ စီရင်ဆုံးဖြတ်ခြင်း၊ ပြင်ပအဖွဲ့အစည်းစာကြည့်တိုက်များ၏ 79% သည် ပရောဂျက်သို့ ပြောင်းရွှေ့သွားခြင်းဖြစ်သည် ကုဒ်ကို နောက်ပိုင်းတွင် အပ်ဒိတ်လုပ်မည်မဟုတ်ပါ။)
Log4j ၏ အားနည်းချက်ရှိသော ဗားရှင်းများကို အသုံးပြုသည့် အပလီကေးရှင်းများ၏ အဓိက အမျိုးအစားသုံးမျိုး ရှိပါသည်။
- အပလီကေးရှင်းများ၏ 2.8% သည် Log4Shell အားနည်းချက် (CVE-2.0-9) ပါရှိသော 2.15.0-beta4 မှ 2021 သို့ ဆက်လက်အသုံးပြုနေကြပါသည်။
- အပလီကေးရှင်းများ၏ 3.8% သည် Log4j2 2.17.0 ထွက်ရှိမှုကို အသုံးပြုပြီး Log4Shell အားနည်းချက်ကို ပြင်ဆင်ပေးသော်လည်း CVE-2021-44832 remote code execution (RCE) အားနည်းချက်ကို ပြုပြင်မထားပါ။
- အပလီကေးရှင်းများ၏ 32% သည် Log4j2 1.2.x ဌာနခွဲကို အသုံးပြုပြီး 2015 ခုနှစ်တွင် အဆုံးသတ်ခဲ့သော ပံ့ပိုးမှုဖြစ်သည်။ ပြုပြင်ထိန်းသိမ်းမှုပြီးဆုံးပြီးနောက် 2022 နှစ်အကြာ 23307 တွင် ဖော်ထုတ်ထားသော ဤဌာနခွဲသည် အရေးကြီးသောအားနည်းချက်များဖြစ်သည့် CVE-2022-23305၊ CVE-2022-23302 နှင့် CVE-2022-7 တို့ကြောင့် ထိခိုက်ပါသည်။
source: opennet.ru