Veracode 發布了去年和前年發現的 Log4j Java 庫中關鍵漏洞相關性的研究結果。 在研究了 38278 個組織使用的 3866 個應用程式後,Veracode 研究人員發現其中 38% 使用易受攻擊的 Log4j 版本。 繼續使用遺留程式碼的主要原因是將舊程式庫整合到專案中,或從不支援的分支遷移到向後相容的新分支的費力(根據先前的Veracode 報告判斷,79% 的第三方庫遷移到專案中)代碼隨後不會更新)。
使用易受攻擊的 Log4j 版本的應用程式主要分為三類:
- 2.8%的應用程式繼續使用Log4j版本從2.0-beta9到2.15.0,其中包含Log4Shell漏洞(CVE-2021-44228)。
- 3.8% 的應用程式使用 Log4j2 2.17.0 版本,該版本修復了 Log4Shell 漏洞,但未修復 CVE-2021-44832 遠端程式碼執行 (RCE) 漏洞。
- 32% 的應用程式使用 Log4j2 1.2.x 分支,對該分支的支援早在 2015 年就結束了。 該分支受到嚴重漏洞 CVE-2022-23307、CVE-2022-23305 和 CVE-2022-23302 的影響,這些漏洞於 2022 年維護結束 7 年後發現。
來源: opennet.ru