Veracode har publisert resultatene av en studie av relevansen av kritiske sårbarheter i Log4j Java-biblioteket, identifisert i fjor og året før. Etter å ha studert 38278 3866 applikasjoner brukt av 38 4 organisasjoner, fant Veracode-forskere at 79 % av dem bruker sårbare versjoner av LogXNUMXj. Hovedårsaken til å fortsette å bruke eldre kode er integreringen av gamle biblioteker i prosjekter eller arbeidskrevende å migrere fra grener som ikke støttes til nye grener som er bakoverkompatible (bedømt av en tidligere Veracode-rapport, migrerte XNUMX % av tredjepartsbibliotekene inn i prosjektet kode blir aldri senere oppdatert).
Det er tre hovedkategorier av applikasjoner som bruker sårbare versjoner av Log4j:
- 2.8 % av applikasjonene fortsetter å bruke Log4j-versjoner fra 2.0-beta9 til 2.15.0, som inneholder Log4Shell-sårbarheten (CVE-2021-44228).
- 3.8 % av applikasjonene bruker Log4j2 2.17.0-versjonen, som fikser Log4Shell-sårbarheten, men lar CVE-2021-44832-sårbarheten for ekstern kjøring av kode (RCE) være uløst.
- 32 % av applikasjonene bruker Log4j2 1.2.x-grenen, som ble avsluttet i 2015. Denne grenen er påvirket av kritiske sårbarheter CVE-2022-23307, CVE-2022-23305 og CVE-2022-23302, identifisert i 2022 7 år etter avsluttet vedlikehold.
Kilde: opennet.ru