Veracode натиҷаҳои таҳқиқоти марбут ба осебпазирии интиқодӣ дар китобхонаи Log4j Java, ки соли гузашта ва соли пеш муайян шуда буданд, нашр кард. Пас аз омӯзиши 38278 замимаҳое, ки аз ҷониби 3866 созмон истифода мешаванд, муҳаққиқони Veracode муайян карданд, ки 38% онҳо версияҳои осебпазири Log4j-ро истифода мебаранд. Сабаби асосии идомаи истифодаи коди меросӣ ин ҳамгироии китобхонаҳои кӯҳна ба лоиҳаҳо ё заҳматталабии муҳоҷират аз филиалҳои дастгирӣнашаванда ба филиалҳои нав, ки ба ақиб мувофиқ мебошанд (аз рӯи гузориши қаблии Veracode, 79% китобхонаҳои тарафи сеюм ба лоиҳа кӯчонида шудаанд) код ҳеҷ гоҳ баъдан нав карда намешавад).
Се категорияи асосии барномаҳо мавҷуданд, ки версияҳои осебпазири Log4j-ро истифода мебаранд:
- 2.8% барномаҳо версияҳои Log4j аз 2.0-beta9 то 2.15.0-ро истифода мебаранд, ки осебпазирии Log4Shell (CVE-2021-44228)-ро дар бар мегиранд.
- 3.8% барномаҳо версияи Log4j2 2.17.0-ро истифода мебаранд, ки осебпазирии Log4Shell-ро ислоҳ мекунад, аммо осебпазирии иҷроиши коди дурдасти CVE-2021-44832 (RCE) -ро ислоҳ намекунад.
- 32% барномаҳо филиали Log4j2 1.2.x-ро истифода мебаранд, ки дастгирии он дар соли 2015 ба охир расида буд. Ба ин филиал осебпазириҳои муҳими CVE-2022-23307, CVE-2022-23305 ва CVE-2022-23302, ки соли 2022 пас аз 7 соли анҷоми нигоҳдорӣ муайян шудаанд, таъсир мерасонад.
Манбаъ: opennet.ru