Компанія Veracode опублікувала результати дослідження актуальності критичних уразливостей у Java-бібліотеці Log4j, виявлених у минулому та позаминулому роках. Вивчивши 38278 додатків, що використовуються у 3866 організаціях, дослідники з Veracode виявили, що 38% з них використовують уразливі версії Log4j. Основною причиною продовження застосування застарілого коду є вбудовування в проекти старих бібліотек або трудомісткість міграції з гілок, що вже не підтримуються, на нові гілки, в яких порушена зворотна сумісність (судячи з попереднього звіту Veracode, 79% перенесених в код проектів сторонніх бібліотек в подальшому ніколи не оновлюються.
Виділено три основні категорії додатків, які використовують вразливі версії Log4j:
- 2.8% додатків продовжують використовувати версії Log4j з 2.0-beta9 по 2.15.0, що містять вразливість Log4Shell (CVE-2021-44228).
- 3.8% додатків використовують випуск Log4j2 2.17.0, в якому уразливість Log4Shell усунена, але залишається не виправленою вразливість CVE-2021-44832, що дозволяє організувати віддалене виконання коду (RCE).
- 32% програм використовують гілку Log4j2 1.2.x, підтримка якої завершилася ще в 2015 році. Ця гілка схильна до критичних уразливостей CVE-2022-23307, CVE-2022-23305 і CVE-2022-23302, виявлених у 2022 році через 7 років після припинення супроводу.
Джерело: opennet.ru