Veracode har publicerat resultaten av en studie av relevansen av kritiska sårbarheter i Log4j Java-biblioteket, identifierad förra året och året innan. Efter att ha studerat 38278 3866 applikationer som används av 38 4 organisationer fann Veracode-forskare att 79 % av dem använder sårbara versioner av LogXNUMXj. Det främsta skälet till att fortsätta använda äldre kod är integrationen av gamla bibliotek i projekt eller mödan i att migrera från filialer som inte stöds till nya filialer som är bakåtkompatibla (att döma av en tidigare Veracode-rapport, migrerade XNUMX % av tredjepartsbiblioteken till projektet kod uppdateras aldrig senare).
Det finns tre huvudkategorier av applikationer som använder sårbara versioner av Log4j:
- 2.8 % av applikationerna fortsätter att använda Log4j-versioner från 2.0-beta9 till 2.15.0, som innehåller Log4Shell-sårbarheten (CVE-2021-44228).
- 3.8 % av applikationerna använder Log4j2 2.17.0-versionen, som åtgärdar Log4Shell-sårbarheten, men lämnar sårbarheten CVE-2021-44832 remote code execution (RCE) ofixerad.
- 32 % av applikationerna använder Log4j2 1.2.x-grenen, vars stöd upphörde 2015. Den här grenen påverkas av kritiska sårbarheter CVE-2022-23307, CVE-2022-23305 och CVE-2022-23302, identifierade 2022 7 år efter avslutat underhåll.
Källa: opennet.ru