Veracode Log4j జావా లైబ్రరీలోని క్లిష్టమైన దుర్బలత్వాల ఔచిత్యాన్ని గత సంవత్సరం మరియు అంతకు ముందు సంవత్సరం గుర్తించిన అధ్యయన ఫలితాలను ప్రచురించింది. 38278 సంస్థలు ఉపయోగించే 3866 అప్లికేషన్లను అధ్యయనం చేసిన తర్వాత, వాటిలో 38% మంది Log4j యొక్క హాని కలిగించే సంస్కరణలను ఉపయోగిస్తున్నారని వెరాకోడ్ పరిశోధకులు కనుగొన్నారు. లెగసీ కోడ్ని ఉపయోగించడం కొనసాగించడానికి ప్రధాన కారణం పాత లైబ్రరీలను ప్రాజెక్ట్లలోకి చేర్చడం లేదా మద్దతు లేని శాఖల నుండి వెనుకబడిన అనుకూలత ఉన్న కొత్త బ్రాంచ్లకు వలస పోవడం (మునుపటి వెరాకోడ్ నివేదిక ప్రకారం, 79% థర్డ్-పార్టీ లైబ్రరీలు ప్రాజెక్ట్లోకి మారాయి. కోడ్ ఎప్పుడూ అప్డేట్ చేయబడదు).
Log4j యొక్క హాని కలిగించే సంస్కరణలను ఉపయోగించే మూడు ప్రధాన రకాల అప్లికేషన్లు ఉన్నాయి:
- 2.8% అప్లికేషన్లు Log4Shell దుర్బలత్వాన్ని (CVE-2.0-9) కలిగి ఉన్న 2.15.0-beta4 నుండి 2021 వరకు Log44228j వెర్షన్లను ఉపయోగించడం కొనసాగిస్తున్నాయి.
- 3.8% అప్లికేషన్లు Log4j2 2.17.0 విడుదలను ఉపయోగిస్తాయి, ఇది Log4Shell దుర్బలత్వాన్ని పరిష్కరిస్తుంది, అయితే CVE-2021-44832 రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE) దుర్బలత్వాన్ని పరిష్కరించలేదు.
- 32% అప్లికేషన్లు Log4j2 1.2.x బ్రాంచ్ను ఉపయోగిస్తున్నాయి, దీనికి మద్దతు 2015లో ముగిసింది. నిర్వహణ ముగిసిన 2022 సంవత్సరాల తర్వాత 23307లో గుర్తించబడిన CVE-2022-23305, CVE-2022-23302 మరియు CVE-2022-7 ఈ బ్రాంచ్పై ప్రభావం చూపుతుంది.
మూలం: opennet.ru