Veracode zverejnila výsledky štúdie relevantnosti kritických zraniteľností v knižnici Log4j Java, identifikovaných minulý a predminulý rok. Po preštudovaní 38278 3866 aplikácií používaných 38 4 organizáciami vedci z Veracode zistili, že 79 % z nich používa zraniteľné verzie LogXNUMXj. Hlavným dôvodom pokračovania v používaní starého kódu je integrácia starých knižníc do projektov alebo pracnosť migrácie z nepodporovaných pobočiek do nových pobočiek, ktoré sú spätne kompatibilné (súdiac podľa predchádzajúcej správy Veracode, XNUMX % knižníc tretích strán migrovalo do projektu kód sa nikdy následne neaktualizuje).
Existujú tri hlavné kategórie aplikácií, ktoré používajú zraniteľné verzie Log4j:
- 2.8 % aplikácií naďalej používa verzie Log4j od 2.0-beta9 do 2.15.0, ktoré obsahujú zraniteľnosť Log4Shell (CVE-2021-44228).
- 3.8 % aplikácií používa vydanie Log4j2 2.17.0, ktoré opravuje zraniteľnosť Log4Shell, ale necháva neopravenú zraniteľnosť CVE-2021-44832 vzdialené spustenie kódu (RCE).
- 32 % aplikácií používa vetvu Log4j2 1.2.x, ktorej podpora skončila ešte v roku 2015. Táto vetva je ovplyvnená kritickými chybami zabezpečenia CVE-2022-23307, CVE-2022-23305 a CVE-2022-23302, ktoré boli identifikované v roku 2022 7 rokov po ukončení údržby.
Zdroj: opennet.ru