Veracode, Log4j Java kütüphanesinde geçen yıl ve önceki yıl belirlenen kritik güvenlik açıklarının alaka düzeyine ilişkin bir çalışmanın sonuçlarını yayınladı. Veracode araştırmacıları, 38278 kuruluş tarafından kullanılan 3866 uygulamayı inceledikten sonra bunların %38'inin Log4j'nin savunmasız sürümlerini kullandığını buldu. Eski kodu kullanmaya devam etmenin ana nedeni, eski kitaplıkların projelere entegrasyonu veya desteklenmeyen şubelerden geriye dönük uyumlu yeni şubelere geçişin zahmetli olmasıdır (önceki bir Veracode raporuna göre, üçüncü taraf kitaplıkların %79'u projeye taşınmıştır) kod daha sonra hiçbir zaman güncellenmez).
Log4j'nin güvenlik açığı bulunan sürümlerini kullanan üç ana uygulama kategorisi vardır:
- Uygulamaların %2.8'i, Log4Shell güvenlik açığını (CVE-2.0-9) içeren 2.15.0-beta4'dan 2021'a kadar Log44228j sürümlerini kullanmaya devam ediyor.
- Uygulamaların %3.8'i, Log4Shell güvenlik açığını gideren ancak CVE-2-2.17.0 uzaktan kod yürütme (RCE) güvenlik açığını düzeltmeden bırakan Log4j2021 44832 sürümünü kullanıyor.
- Uygulamaların %32'si, desteği 4'te sona eren Log2j1.2 2015.x şubesini kullanıyor. Bu dal, bakımın bitiminden 2022 yıl sonra 23307'de tanımlanan CVE-2022-23305, CVE-2022-23302 ve CVE-2022-7 kritik güvenlik açıklarından etkilenmektedir.
Kaynak: opennet.ru