Veracode Log4j جاوا لائبريري ۾ نازڪ ڪمزورين جي مطابقت جي مطالعي جا نتيجا شايع ڪيا آهن، جن جي سڃاڻپ گذريل سال ۽ سال اڳ ڪئي وئي هئي. 38278 تنظيمن پاران استعمال ڪيل 3866 ايپليڪيشنن جي مطالعي کان پوء، ويراڪوڊ محقق ڏٺائين ته انهن مان 38٪ Log4j جا ڪمزور ورزن استعمال ڪن ٿا. وراثت ڪوڊ استعمال ڪرڻ جاري رکڻ جو بنيادي سبب پراڻن لائبريرين جو منصوبن ۾ ضم ٿيڻ يا غير معاون شاخن کان نئين شاخن ڏانهن لڏپلاڻ جي محنت آهي جيڪي پسمانده مطابقت رکندڙ آهن (اڳئين ويراڪوڊ رپورٽ جي مطابق، 79٪ ٽئين پارٽي لائبريريون پروجيڪٽ ۾ لڏپلاڻ ڪيون ويون آهن. ڪوڊ بعد ۾ ڪڏهن به اپڊيٽ نه ڪيو ويندو).
ايپليڪيشنن جا ٽي مکيه قسم آهن جيڪي Log4j جا ڪمزور ورزن استعمال ڪن ٿا:
- ايپليڪيشنن جو 2.8٪ 4-beta2.0 کان 9 تائين Log2.15.0j ورزن استعمال ڪرڻ جاري رکي ٿو، جن ۾ Log4Shell جي ڪمزوري (CVE-2021-44228) شامل آهن.
- ايپليڪيشنن جو 3.8٪ استعمال ڪري ٿو Log4j2 2.17.0 رليز، جيڪو درست ڪري ٿو Log4Shell جي خطري کي، پر ڇڏي ٿو CVE-2021-44832 ريموٽ ڪوڊ ايگزيڪيوشن (RCE) خطري کي اڻڄاتل.
- 32% ايپليڪيشنون استعمال ڪن ٿيون Log4j2 1.2.x برانچ، جنهن لاءِ سپورٽ 2015 ۾ ختم ٿي وئي. هي برانچ نازڪ خطرن کان متاثر آهي CVE-2022-23307، CVE-2022-23305 ۽ CVE-2022-23302، جن جي سڃاڻپ 2022 ۾ 7 سالن جي سار سنڀال ختم ٿيڻ کان پوءِ ڪئي وئي آهي.
جو ذريعو: opennet.ru