Veracode ti ṣe atẹjade awọn abajade ti iwadii kan ti ibaramu ti awọn ailagbara pataki ni ile-ikawe Log4j Java, ti idanimọ ni ọdun to kọja ati ọdun ṣaaju. Lẹhin kika awọn ohun elo 38278 ti awọn ajo 3866 lo, awọn oniwadi Veracode rii pe 38% ninu wọn lo awọn ẹya ti o ni ipalara ti Log4j. Idi akọkọ fun tẹsiwaju lati lo koodu ogún ni isọpọ ti awọn ile-ikawe atijọ sinu awọn iṣẹ akanṣe tabi aapọn ti gbigbe lati awọn ẹka ti ko ni atilẹyin si awọn ẹka tuntun ti o ni ibamu sẹhin (idajọ nipasẹ ijabọ Veracode iṣaaju, 79% ti awọn ile-ikawe ẹni-kẹta ti lọ si iṣẹ akanṣe koodu ti wa ni ko ti paradà imudojuiwọn).
Awọn ẹka akọkọ mẹta ti awọn ohun elo ti o lo awọn ẹya ti o ni ipalara ti Log4j:
- 2.8% awọn ohun elo tẹsiwaju lati lo awọn ẹya Log4j lati 2.0-beta9 si 2.15.0, eyiti o ni ailagbara Log4Shell (CVE-2021-44228).
- 3.8% ti awọn ohun elo lo itusilẹ Log4j2 2.17.0, eyiti o ṣe atunṣe ailagbara Log4Shell, ṣugbọn fi silẹ CVE-2021-44832 ipaniyan koodu isakoṣo latọna jijin (RCE) ailagbara.
- 32% ti awọn ohun elo lo ẹka Log4j2 1.2.x, atilẹyin eyiti o pari ni ọdun 2015. Ẹka yii ni ipa nipasẹ awọn ailagbara pataki CVE-2022-23307, CVE-2022-23305 ati CVE-2022-23302, ti a damọ ni 2022 7 ọdun lẹhin opin itọju.
orisun: opennet.ru