Veracode ได้เผยแพร่ผลการศึกษาความเกี่ยวข้องของช่องโหว่ที่สำคัญในไลบรารี Log4j Java ที่ระบุเมื่อปีที่แล้วและปีก่อนหน้า หลังจากศึกษาแอปพลิเคชัน 38278 รายการที่ใช้งานโดยองค์กร 3866 แห่ง นักวิจัยของ Veracode พบว่า 38% ใช้ Log4j เวอร์ชันที่มีช่องโหว่ เหตุผลหลักในการใช้โค้ดเดิมต่อไปคือการรวมไลบรารีเก่าเข้ากับโปรเจ็กต์หรือความลำบากในการย้ายจากสาขาที่ไม่ได้รับการสนับสนุนไปยังสาขาใหม่ที่เข้ากันได้แบบย้อนหลัง (ตัดสินโดยรายงาน Veracode ก่อนหน้านี้ 79% ของไลบรารีบุคคลที่สามย้ายเข้าสู่โปรเจ็กต์ รหัสจะไม่ได้รับการอัปเดตในภายหลัง)
มีแอปพลิเคชันหลักสามประเภทที่ใช้ Log4j เวอร์ชันที่มีช่องโหว่:
- 2.8% ของแอปพลิเคชันยังคงใช้ Log4j เวอร์ชันตั้งแต่ 2.0-beta9 ถึง 2.15.0 ซึ่งมีช่องโหว่ Log4Shell (CVE-2021-44228)
- 3.8% ของแอปพลิเคชันใช้ Log4j2 2.17.0 ซึ่งแก้ไขช่องโหว่ Log4Shell แต่ปล่อยให้ช่องโหว่ CVE-2021-44832 remote code Execution (RCE) ไม่ได้แก้ไข
- 32% ของแอปพลิเคชันใช้สาขา Log4j2 1.2.x ซึ่งสิ้นสุดการสนับสนุนในปี 2015 สาขานี้ได้รับผลกระทบจากช่องโหว่ร้ายแรง CVE-2022-23307, CVE-2022-23305 และ CVE-2022-23302 ซึ่งระบุในปี 2022 7 ปีหลังจากสิ้นสุดการบำรุงรักษา
ที่มา: opennet.ru