Veracode opublikowało wyniki badania istotności krytycznych luk w bibliotece Java Log4j, zidentyfikowanych w zeszłym roku i rok wcześniej. Po przestudiowaniu 38278 3866 aplikacji używanych przez 38 organizacji badacze Veracode odkryli, że 4% z nich korzysta z podatnych na ataki wersji Log79j. Głównym powodem dalszego korzystania ze starszego kodu jest integracja starych bibliotek z projektami lub pracochłonność migracji z nieobsługiwanych gałęzi do nowych, które są kompatybilne wstecz (sądząc z poprzedniego raportu Veracode, XNUMX% bibliotek zewnętrznych przeniosło się do projektów kod nigdy nie jest później aktualizowany).
Istnieją trzy główne kategorie aplikacji korzystających z podatnych na ataki wersji Log4j:
- 2.8% aplikacji nadal korzysta z wersji Log4j od 2.0-beta9 do 2.15.0, które zawierają lukę Log4Shell (CVE-2021-44228).
- 3.8% aplikacji korzysta z wersji Log4j2 2.17.0, która naprawia lukę Log4Shell, ale pozostawia nienaprawioną lukę CVE-2021-44832 umożliwiającą zdalne wykonanie kodu (RCE).
- 32% aplikacji korzysta z gałęzi Log4j2 1.2.x, której wsparcie zakończyło się w 2015 roku. W tej gałęzi występują krytyczne luki CVE-2022-23307, CVE-2022-23305 i CVE-2022-23302, zidentyfikowane w 2022 r., 7 lat po zakończeniu konserwacji.
Źródło: opennet.ru