Veracode heeft de resultaten gepubliceerd van een onderzoek naar de relevantie van kritieke kwetsbaarheden in de Log4j Java-bibliotheek, die vorig jaar en het jaar daarvoor zijn geïdentificeerd. Na bestudering van 38278 applicaties die door 3866 organisaties worden gebruikt, ontdekten Veracode-onderzoekers dat 38% van hen kwetsbare versies van Log4j gebruikt. De belangrijkste reden om verouderde code te blijven gebruiken is de integratie van oude bibliotheken in projecten of de moeizame migratie van niet-ondersteunde branches naar nieuwe branches die achterwaarts compatibel zijn (te oordelen naar een eerder Veracode-rapport migreerde 79% van de bibliotheken van derden naar projectomgevingen). code worden vervolgens nooit bijgewerkt).
Er zijn drie hoofdcategorieën van applicaties die kwetsbare versies van Log4j gebruiken:
- 2.8% van de applicaties blijft Log4j-versies van 2.0-beta9 tot 2.15.0 gebruiken, die de Log4Shell-kwetsbaarheid bevatten (CVE-2021-44228).
- 3.8% van de applicaties maakt gebruik van de Log4j2 2.17.0-release, die de Log4Shell-kwetsbaarheid verhelpt, maar de CVE-2021-44832-kwetsbaarheid op afstand (RCE) onopgelost laat.
- 32% van de applicaties gebruikt de Log4j2 1.2.x-tak, waarvan de ondersteuning in 2015 eindigde. Deze branche wordt getroffen door kritieke kwetsbaarheden CVE-2022-23307, CVE-2022-23305 en CVE-2022-23302, geïdentificeerd in 2022, zeven jaar na het einde van het onderhoud.
Bron: opennet.ru