Veracode a publicat rezultatele unui studiu privind relevanța vulnerabilităților critice din biblioteca Log4j Java, identificate anul trecut și anul anterior. După ce au studiat 38278 de aplicații utilizate de 3866 de organizații, cercetătorii Veracode au descoperit că 38% dintre ele folosesc versiuni vulnerabile ale Log4j. Motivul principal pentru a continua să utilizați codul moștenit este integrarea vechilor biblioteci în proiecte sau laboriositatea migrării de la ramuri neacceptate la ramuri noi care sunt compatibile cu înapoi (judecând după un raport anterior Veracode, 79% dintre bibliotecile terțe au migrat în proiect. codul nu este niciodată actualizat ulterior).
Există trei categorii principale de aplicații care utilizează versiuni vulnerabile ale Log4j:
- 2.8% dintre aplicații continuă să utilizeze versiuni Log4j de la 2.0-beta9 la 2.15.0, care conțin vulnerabilitatea Log4Shell (CVE-2021-44228).
- 3.8% dintre aplicații folosesc versiunea Log4j2 2.17.0, care remediază vulnerabilitatea Log4Shell, dar lasă neremediată vulnerabilitatea de execuție a codului la distanță (RCE) CVE-2021-44832.
- 32% dintre aplicații folosesc ramura Log4j2 1.2.x, suport pentru care sa încheiat în 2015. Această ramură este afectată de vulnerabilități critice CVE-2022-23307, CVE-2022-23305 și CVE-2022-23302, identificate în 2022 la 7 ani de la încheierea întreținerii.
Sursa: opennet.ru