א דריט פון Java פּראַדזשעקס באזירט אויף די Log4j ביבליאָטעק פאָרזעצן צו נוצן שפּירעוודיק ווערסיעס

Veracode האט פארעפנטלעכט די רעזולטאַטן פון אַ לערנען פון די שייכות פון קריטיש וואַלנעראַביליטיז אין די Log4j Java ביבליאָטעק, יידענאַפייד לעצטע יאָר און די יאָר פריער. נאָך לערנען 38278 אַפּלאַקיישאַנז געניצט דורך 3866 אָרגאַנאַזיישאַנז, וועראַקאָד ריסערטשערז געפֿונען אַז 38% פון זיי נוצן שפּירעוודיק ווערסיעס פון Log4j. די הויפּט סיבה פֿאַר פאָרזעצן צו נוצן לעגאַט קאָד איז די ינאַגריישאַן פון אַלט לייברעריז אין פּראַדזשעקס אָדער די לאַבאָריאַסנאַס פון מיגרייטינג פון אַנסאַפּאָרטיד צווייגן צו נייַע צווייגן וואָס זענען צוריק קאַמפּאַטאַבאַל (צו משפטן לויט אַ פריערדיקן וועראַקאָד באַריכט, 79% פון דריט-פּאַרטיי לייברעריז מיגרייטיד אין פּרויעקט קאָד זענען קיינמאָל דערהייַנטיקט).

עס זענען דריי הויפּט קאַטעגאָריעס פון אַפּלאַקיישאַנז וואָס נוצן שפּירעוודיק ווערסיעס פון Log4j:

• 2.8% פון אַפּלאַקיישאַנז פאָרזעצן צו נוצן Log4j ווערסיעס פון 2.0-beta9 צו 2.15.0, וואָס אַנטהאַלטן די Log4Shell וואַלנעראַביליטי (CVE-2021-44228).
• 3.8% פון אַפּלאַקיישאַנז נוצן די Log4j2 2.17.0 מעלדונג, וואָס פיקסיז די Log4Shell וואַלנעראַביליטי, אָבער לאָזן די וואַלנעראַביליטי פון די CVE-2021-44832 ווייַט קאָד דורכפירונג (RCE) אַנפיקסט.
• 32% פון אַפּלאַקיישאַנז נוצן די Log4j2 1.2.x צווייַג, שטיצן פֿאַר וואָס איז געענדיקט צוריק אין 2015. דער צווייַג איז אַפעקטאַד דורך קריטיש וואַלנעראַביליטיז CVE-2022-23307, CVE-2022-23305 און CVE-2022-23302, יידענאַפייד אין 2022 7 יאָר נאָך דעם סוף פון וישאַלט.

מקור: opennet.ru