Veracode amechapisha matokeo ya utafiti wa umuhimu wa udhaifu mkubwa katika maktaba ya Log4j Java, iliyotambuliwa mwaka jana na mwaka uliopita. Baada ya kusoma maombi 38278 yanayotumiwa na mashirika 3866, watafiti wa Veracode waligundua kuwa 38% kati yao wanatumia matoleo hatarishi ya Log4j. Sababu kuu ya kuendelea kutumia msimbo wa urithi ni ujumuishaji wa maktaba za zamani katika miradi au ugumu wa kuhama kutoka matawi yasiyotumika hadi matawi mapya ambayo yanaendana nyuma (kwa kuzingatia ripoti ya awali ya Veracode, 79% ya maktaba za watu wengine zilihamishiwa kwenye mradi. msimbo haujasasishwa kamwe).
Kuna aina tatu kuu za programu zinazotumia matoleo hatarishi ya Log4j:
- 2.8% ya programu zinaendelea kutumia matoleo ya Log4j kutoka 2.0-beta9 hadi 2.15.0, ambayo yana athari ya Log4Shell (CVE-2021-44228).
- 3.8%.
- 32% ya programu hutumia tawi la Log4j2 1.2.x, usaidizi ambao uliisha mnamo 2015. Tawi hili limeathiriwa na udhaifu mkubwa wa CVE-2022-23307, CVE-2022-23305 na CVE-2022-23302, uliotambuliwa mwaka wa 2022 miaka 7 baada ya kumalizika kwa matengenezo.
Chanzo: opennet.ru