ویرا کوڈ نے Log4j Java لائبریری میں اہم کمزوریوں کی مطابقت کے مطالعہ کے نتائج شائع کیے ہیں، جن کی نشاندہی پچھلے سال اور ایک سال پہلے کی گئی تھی۔ 38278 تنظیموں کے ذریعے استعمال ہونے والی 3866 ایپلی کیشنز کا مطالعہ کرنے کے بعد، Veracode محققین نے پایا کہ ان میں سے 38% Log4j کے کمزور ورژن استعمال کرتے ہیں۔ میراثی کوڈ کا استعمال جاری رکھنے کی بنیادی وجہ پرانی لائبریریوں کا پراجیکٹس میں انضمام یا غیر تعاون یافتہ برانچوں سے نئی برانچوں میں منتقلی کی مشقت ہے جو کہ پسماندہ مطابقت رکھتی ہیں (پچھلی ویرا کوڈ رپورٹ کے مطابق، 79% تیسری پارٹی کی لائبریریاں پروجیکٹ میں منتقل ہوئیں۔ کوڈ کو بعد میں کبھی اپ ڈیٹ نہیں کیا جاتا ہے)۔
ایپلی کیشنز کی تین اہم قسمیں ہیں جو Log4j کے کمزور ورژن استعمال کرتی ہیں:
- 2.8% ایپلیکیشنز 4-beta2.0 سے 9 تک Log2.15.0j ورژن استعمال کرتی رہتی ہیں، جس میں Log4Shell کمزوری (CVE-2021-44228) ہوتی ہے۔
- 3.8% ایپلیکیشنز Log4j2 2.17.0 ریلیز کا استعمال کرتی ہیں، جو Log4Shell کے خطرے کو ٹھیک کرتی ہے، لیکن CVE-2021-44832 ریموٹ کوڈ ایگزیکیوشن (RCE) کے خطرے کو غیر فکس کرتی ہے۔
- 32% ایپلیکیشنز Log4j2 1.2.x برانچ استعمال کرتی ہیں، جس کے لیے سپورٹ 2015 میں ختم ہو گیا تھا۔ یہ برانچ اہم کمزوریوں CVE-2022-23307، CVE-2022-23305 اور CVE-2022-23302 سے متاثر ہے، جن کی شناخت دیکھ بھال کے ختم ہونے کے 2022 سال بعد 7 میں ہوئی۔
ماخذ: opennet.ru