A Veracode publicou os resultados de um estudo sobre a relevância das vulnerabilidades críticas na biblioteca Log4j Java, identificadas no ano passado e no ano anterior. Depois de estudar 38278 aplicativos usados por 3866 organizações, os pesquisadores da Veracode descobriram que 38% deles usam versões vulneráveis do Log4j. A principal razão para continuar a usar código legado é a integração de bibliotecas antigas em projetos ou a laboriosidade de migrar de filiais não suportadas para novas filiais compatíveis com versões anteriores (a julgar por um relatório anterior da Veracode, 79% das bibliotecas de terceiros migraram para o projeto código nunca são atualizados posteriormente).
Existem três categorias principais de aplicativos que usam versões vulneráveis do Log4j:
- 2.8% dos aplicativos continuam a usar versões Log4j de 2.0-beta9 a 2.15.0, que contêm a vulnerabilidade Log4Shell (CVE-2021-44228).
- 3.8% dos aplicativos usam a versão Log4j2 2.17.0, que corrige a vulnerabilidade Log4Shell, mas deixa a vulnerabilidade de execução remota de código (RCE) CVE-2021-44832 sem correção.
- 32% dos aplicativos usam o branch Log4j2 1.2.x, cujo suporte terminou em 2015. Esta filial é afetada pelas vulnerabilidades críticas CVE-2022-23307, CVE-2022-23305 e CVE-2022-23302, identificadas em 2022 7 anos após o término da manutenção.
Fonte: opennet.ru