Veracode o'tgan yili va bir yil oldin aniqlangan Log4j Java kutubxonasidagi muhim zaifliklarning dolzarbligini o'rganish natijalarini e'lon qildi. Veracode tadqiqotchilari 38278 ta tashkilot tomonidan foydalaniladigan 3866 ta ilovani oΚ»rganib chiqib, ularning 38% Log4j ning zaif versiyalaridan foydalanishini aniqladilar. Eski kodlardan foydalanishni davom ettirishning asosiy sababi - eski kutubxonalarning loyihalarga integratsiyalashuvi yoki qo'llab-quvvatlanmaydigan filiallardan orqaga qarab mos keladigan yangi filiallarga o'tishning mashaqqatliligi (oldingi Veracode hisobotiga ko'ra, uchinchi tomon kutubxonalarining 79 foizi loyihaga ko'chirilgan. kod hech qachon yangilanmaydi).
Log4j ning zaif versiyalaridan foydalanadigan ilovalarning uchta asosiy toifasi mavjud:
- Ilovalarning 2.8 foizi Log4Shell zaifligini (CVE-2.0-9) o'z ichiga olgan 2.15.0-beta4 dan 2021 gacha bo'lgan Log44228j versiyalaridan foydalanishda davom etmoqda.
- Ilovalarning 3.8% Log4j2 2.17.0 versiyasidan foydalanadi, bu Log4Shell zaifligini tuzatadi, lekin CVE-2021-44832 masofaviy kodni bajarish (RCE) zaifligini tuzatmagan holda qoldiradi.
- Ilovalarning 32 foizi Log4j2 1.2.x filialidan foydalanadi, uni qo'llab-quvvatlash 2015 yilda yakunlangan. Ushbu filial CVE-2022-23307, CVE-2022-23305 va CVE-2022-23302 muhim zaifliklaridan ta'sirlangan, ular texnik xizmat ko'rsatish tugaganidan 2022 yil o'tib 7 yilda aniqlangan.
Manba: opennet.ru