Veracode đã công bố kết quả nghiên cứu về mức độ liên quan của các lỗ hổng nghiêm trọng trong thư viện Log4j Java, được xác định vào năm ngoái và năm trước. Sau khi nghiên cứu 38278 ứng dụng được 3866 tổ chức sử dụng, các nhà nghiên cứu của Veracode nhận thấy rằng 38% trong số đó sử dụng các phiên bản có lỗ hổng của Log4j. Lý do chính để tiếp tục sử dụng mã kế thừa là việc tích hợp các thư viện cũ vào dự án hoặc sự tốn công sức khi di chuyển từ các nhánh không được hỗ trợ sang các nhánh mới tương thích ngược (theo báo cáo Veracode trước đó, 79% thư viện của bên thứ ba đã di chuyển vào dự án). mã không bao giờ được cập nhật sau đó).
Có ba loại ứng dụng chính sử dụng các phiên bản dễ bị tấn công của Log4j:
- 2.8% ứng dụng tiếp tục sử dụng các phiên bản Log4j từ 2.0-beta9 đến 2.15.0, chứa lỗ hổng Log4Shell (CVE-2021-44228).
- 3.8% ứng dụng sử dụng bản phát hành Log4j2 2.17.0, bản phát hành này khắc phục lỗ hổng Log4Shell nhưng không sửa lỗ hổng thực thi mã từ xa (RCE) CVE-2021-44832.
- 32% ứng dụng sử dụng nhánh Log4j2 1.2.x, nhánh này đã kết thúc vào năm 2015. Nhánh này bị ảnh hưởng bởi các lỗ hổng nghiêm trọng CVE-2022-23307, CVE-2022-23305 và CVE-2022-23302, được xác định vào năm 2022, 7 năm sau khi kết thúc bảo trì.
Nguồn: opennet.ru