Inilathala ng Veracode ang mga resulta ng isang pag-aaral ng kaugnayan ng mga kritikal na kahinaan sa Log4j Java library, na natukoy noong nakaraang taon at noong nakaraang taon. Matapos pag-aralan ang 38278 application na ginagamit ng 3866 na organisasyon, natuklasan ng mga mananaliksik ng Veracode na 38% sa kanila ay gumagamit ng mga masusugatan na bersyon ng Log4j. Ang pangunahing dahilan ng patuloy na paggamit ng legacy code ay ang pagsasama ng mga lumang library sa mga proyekto o ang pagiging matrabaho ng paglipat mula sa mga hindi sinusuportahang branch patungo sa mga bagong branch na backward compatible (husga sa isang nakaraang ulat ng Veracode, 79% ng mga third-party na library ang lumipat sa proyekto hindi kailanman na-update ang code).
May tatlong pangunahing kategorya ng mga application na gumagamit ng mga vulnerable na bersyon ng Log4j:
- 2.8% ng mga application ay patuloy na gumagamit ng mga bersyon ng Log4j mula 2.0-beta9 hanggang 2.15.0, na naglalaman ng kahinaan ng Log4Shell (CVE-2021-44228).
- 3.8% ng mga application ay gumagamit ng Log4j2 2.17.0 na release, na nag-aayos sa Log4Shell na kahinaan, ngunit hindi naayos ang CVE-2021-44832 remote code execution (RCE) na kahinaan.
- 32% ng mga application ang gumagamit ng Log4j2 1.2.x na sangay, ang suporta na natapos noong 2015. Ang sangay na ito ay apektado ng mga kritikal na kahinaan CVE-2022-23307, CVE-2022-23305 at CVE-2022-23302, na natukoy noong 2022 7 taon pagkatapos ng pagtatapos ng maintenance.
Pinagmulan: opennet.ru