Log4j ஜாவா லைப்ரரியில் உள்ள முக்கியமான பாதிப்புகளின் பொருத்தம் குறித்த ஆய்வின் முடிவுகளை வெராகோட் வெளியிட்டுள்ளது, இது கடந்த ஆண்டு மற்றும் அதற்கு முந்தைய ஆண்டு கண்டறியப்பட்டது. 38278 நிறுவனங்களால் பயன்படுத்தப்படும் 3866 பயன்பாடுகளைப் படித்த பிறகு, அவர்களில் 38% பேர் Log4j இன் பாதிக்கப்படக்கூடிய பதிப்புகளைப் பயன்படுத்துவதை Veracode ஆராய்ச்சியாளர்கள் கண்டறிந்தனர். மரபுக் குறியீட்டைத் தொடர்ந்து பயன்படுத்துவதற்கான முக்கியக் காரணம், பழைய நூலகங்களைத் திட்டங்களில் ஒருங்கிணைத்தல் அல்லது ஆதரவற்ற கிளைகளிலிருந்து பின்தங்கிய இணக்கமான புதிய கிளைகளுக்கு இடம்பெயர்வதில் உள்ள உழைப்பு (முந்தைய வெராகோட் அறிக்கையின்படி, 79% மூன்றாம் தரப்பு நூலகங்கள் திட்டத்திற்கு இடம்பெயர்ந்தன. குறியீடு பின்னர் புதுப்பிக்கப்படாது).
Log4j இன் பாதிக்கப்படக்கூடிய பதிப்புகளைப் பயன்படுத்தும் மூன்று முக்கிய வகை பயன்பாடுகள் உள்ளன:
- 2.8% பயன்பாடுகள் Log4j பதிப்புகளை 2.0-beta9 முதல் 2.15.0 வரை தொடர்ந்து பயன்படுத்துகின்றன, இதில் Log4Shell பாதிப்பு (CVE-2021-44228) உள்ளது.
- 3.8% பயன்பாடுகள் Log4j2 2.17.0 வெளியீட்டைப் பயன்படுத்துகின்றன, இது Log4Shell பாதிப்பை சரிசெய்கிறது, ஆனால் CVE-2021-44832 ரிமோட் குறியீடு செயல்படுத்தல் (RCE) பாதிப்பை சரிசெய்யவில்லை.
- 32% பயன்பாடுகள் Log4j2 1.2.x கிளையைப் பயன்படுத்துகின்றன, அதற்கான ஆதரவு 2015 இல் முடிந்தது. பராமரிப்பு முடிந்து 2022 ஆண்டுகளுக்குப் பிறகு 23307 இல் கண்டறியப்பட்ட CVE-2022-23305, CVE-2022-23302 மற்றும் CVE-2022-7 ஆகிய முக்கியமான பாதிப்புகளால் இந்தக் கிளை பாதிக்கப்பட்டுள்ளது.
ஆதாரம்: opennet.ru