Veracode ka publikuar rezultatet e një studimi të rëndësisë së dobësive kritike në bibliotekën Log4j Java, të identifikuar vitin e kaluar dhe një vit më parë. Pas studimit të 38278 aplikacioneve të përdorura nga 3866 organizata, studiuesit e Veracode zbuluan se 38% e tyre përdorin versione të cenueshme të Log4j. Arsyeja kryesore për vazhdimin e përdorimit të kodit të trashëguar është integrimi i bibliotekave të vjetra në projekte ose vështirësia e migrimit nga degët e pambështetura në degë të reja që janë të pajtueshme me prapavijën (duke gjykuar nga një raport i mëparshëm Veracode, 79% e bibliotekave të palëve të treta migruan në projekt kodi nuk përditësohet kurrë më pas).
Ekzistojnë tre kategori kryesore të aplikacioneve që përdorin versione të cenueshme të Log4j:
- 2.8% e aplikacioneve vazhdojnë të përdorin versionet Log4j nga 2.0-beta9 në 2.15.0, të cilat përmbajnë cenueshmërinë Log4Shell (CVE-2021-44228).
- 3.8% e aplikacioneve përdorin versionin Log4j2 2.17.0, i cili rregullon cenueshmërinë Log4Shell, por e lë të parregulluar cenueshmërinë e ekzekutimit të kodit në distancë (RCE) CVE-2021-44832.
- 32% e aplikacioneve përdorin degën Log4j2 1.2.x, mbështetja për të cilën përfundoi në vitin 2015. Kjo degë ndikohet nga dobësitë kritike CVE-2022-23307, CVE-2022-23305 dhe CVE-2022-23302, të identifikuara në 2022 7 vjet pas përfundimit të mirëmbajtjes.
Burimi: opennet.ru