Veracode 发布了去年和前年发现的 Log4j Java 库中关键漏洞相关性的研究结果。 在研究了 38278 个组织使用的 3866 个应用程序后,Veracode 研究人员发现其中 38% 使用易受攻击的 Log4j 版本。 继续使用遗留代码的主要原因是将旧库集成到项目中,或者从不支持的分支迁移到向后兼容的新分支的费力(根据之前的 Veracode 报告判断,79% 的第三方库迁移到项目中)代码随后不会更新)。
使用易受攻击的 Log4j 版本的应用程序主要分为三类:
- 2.8%的应用程序继续使用Log4j版本从2.0-beta9到2.15.0,其中包含Log4Shell漏洞(CVE-2021-44228)。
- 3.8% 的应用程序使用 Log4j2 2.17.0 版本,该版本修复了 Log4Shell 漏洞,但未修复 CVE-2021-44832 远程代码执行 (RCE) 漏洞。
- 32% 的应用程序使用 Log4j2 1.2.x 分支,对该分支的支持早在 2015 年就结束了。 该分支受到严重漏洞 CVE-2022-23307、CVE-2022-23305 和 CVE-2022-23302 的影响,这些漏洞于 2022 年维护结束 7 年后发现。
来源: opennet.ru