Veracode විසින් Log4j Java පුස්තකාලයේ ඇති විවේචනාත්මක දුර්වලතා වල අදාළත්වය පිළිබඳ අධ්යයනයක ප්රතිඵල පසුගිය වසරේ සහ ඊට පෙර වසරේ හඳුනාගෙන ඇත. ආයතන 38278ක් විසින් භාවිතා කරන ලද යෙදුම් 3866ක් අධ්යයනය කිරීමෙන් පසුව, Veracode පර්යේෂකයන් සොයා ගත්තේ ඔවුන්ගෙන් 38%ක් Log4j හි අවදානමට ලක්විය හැකි අනුවාද භාවිතා කරන බවයි. ලෙගසි කේත දිගටම භාවිතා කිරීමට ප්රධාන හේතුව පැරණි පුස්තකාල ව්යාපෘතිවලට ඒකාබද්ධ කිරීම හෝ සහය නොදක්වන ශාඛා වලින් පසුගාමී අනුකූල වන නව ශාඛා වෙත සංක්රමණය වීමේ වෙහෙසකාරී බව (පෙර Veracode වාර්තාවක් අනුව විනිශ්චය කිරීම, තෙවන පාර්ශවීය පුස්තකාලවලින් 79% ක් ව්යාපෘති වෙත සංක්රමණය වී ඇත. කේතය පසුව යාවත්කාලීන නොවේ).
Log4j හි අවදානමට ලක්විය හැකි අනුවාද භාවිතා කරන යෙදුම්වල ප්රධාන කාණ්ඩ තුනක් ඇත:
- යෙදුම් වලින් 2.8%ක් Log4Shell අවදානම් (CVE-2.0-9) අඩංගු 2.15.0-beta4 සිට 2021 දක්වා Log44228j අනුවාද දිගටම භාවිතා කරයි.
- යෙදුම් වලින් 3.8%ක් Log4j2 2.17.0 නිකුතුව භාවිතා කරයි, එය Log4Shell අවදානම නිරාකරණය කරයි, නමුත් CVE-2021-44832 දුරස්ථ කේත ක්රියාත්මක කිරීමේ (RCE) අවධානම නිශ්චය කර නැත.
- යෙදුම් වලින් 32%ක් Log4j2 1.2.x ශාඛාව භාවිතා කරයි, එය 2015 දී අවසන් විය. නඩත්තුව අවසන් වී වසර 2022 කට පසු 23307 දී හඳුනා ගත් CVE-2022-23305, CVE-2022-23302 සහ CVE-2022-7 මෙම ශාඛාව තීරනාත්මක දුර්වලතා මගින් බලපායි.
මූලාශ්රය: opennet.ru