Veracode parantos nyebarkeun hasil panilitian ngeunaan relevansi kerentanan kritis dina perpustakaan Log4j Java, anu diidentifikasi taun ka tukang sareng taun sateuacanna. Saatos diajar 38278 aplikasi anu dianggo ku 3866 organisasi, peneliti Veracode mendakan yén 38% di antarana nganggo versi Log4j anu rentan. Alesan utama pikeun neraskeun ngagunakeun kode warisan nyaéta integrasi perpustakaan kuno kana proyék atanapi kasulitan hijrah tina cabang anu henteu didukung ka cabang énggal anu cocog sareng mundur (ditilik ku laporan Veracode sateuacana, 79% perpustakaan pihak katilu hijrah kana proyék. kode henteu kantos diropéa salajengna).
Aya tilu kategori utama aplikasi anu nganggo versi Log4j anu rentan:
- 2.8% tina aplikasi terus ngagunakeun vérsi Log4j ti 2.0-beta9 nepi ka 2.15.0, nu ngandung kerentanan Log4Shell (CVE-2021-44228).
- 3.8% tina aplikasi nganggo pelepasan Log4j2 2.17.0, anu ngalereskeun kerentanan Log4Shell, tapi tetep kerentanan CVE-2021-44832 remote code execution (RCE) henteu dibenerkeun.
- 32% tina aplikasi ngagunakeun cabang Log4j2 1.2.x, rojongan nu réngsé deui dina 2015. Cabang ieu kapangaruhan ku kerentanan kritis CVE-2022-23307, CVE-2022-23305 sareng CVE-2022-23302, dicirikeun dina 2022 7 taun saatos pangropéa.
sumber: opennet.ru