Veracode je objavil rezultate študije o pomembnosti kritičnih ranljivosti v javanski knjižnici Log4j, ugotovljenih lani in predlani. Po študiju 38278 aplikacij, ki jih uporablja 3866 organizacij, so raziskovalci Veracode ugotovili, da jih 38 % uporablja ranljive različice Log4j. Glavni razlog za nadaljnjo uporabo podedovane kode je integracija starih knjižnic v projekte ali zahtevnost selitve iz nepodprtih vej v nove veje, ki so združljive s prejšnjimi različicami (sodeč po prejšnjem poročilu Veracode je 79 % knjižnic tretjih oseb migriralo v projekt koda se pozneje nikoli ne posodobi).
Obstajajo tri glavne kategorije aplikacij, ki uporabljajo ranljive različice Log4j:
- 2.8 % aplikacij še naprej uporablja različice Log4j od 2.0-beta9 do 2.15.0, ki vsebujejo ranljivost Log4Shell (CVE-2021-44228).
- 3.8 % aplikacij uporablja izdajo Log4j2 2.17.0, ki odpravlja ranljivost Log4Shell, vendar pušča nepopravljeno ranljivost oddaljenega izvajanja kode (RCE) CVE-2021-44832.
- 32 % aplikacij uporablja vejo Log4j2 1.2.x, katere podpora se je končala že leta 2015. Na to vejo vplivajo kritične ranljivosti CVE-2022-23307, CVE-2022-23305 in CVE-2022-23302, ugotovljene leta 2022 7 let po koncu vzdrževanja.
Vir: opennet.ru