Треть Java-проектов на базе библиотеки Log4j продолжают использовать уязвимые версии

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
14-Дек-2023 17:47

Компания Veracode опубликовала результаты исследования актуальности критических уязвимостей в Java-библиотеке Log4j, выявленных в прошлом и позапрошлом годах. Изучив 38278 приложений, используемых в 3866 организациях, исследователи из Veracode обнаружили, что 38% из них используют уязвимые версии Log4j. Основной причиной продолжения применения устаревшего кода является встраивание в проекты старых библиотек или трудоёмкость миграции с уже неподдерживаемых веток на новые ветки, в которых нарушена обратная совместимость (судя по прошлому отчёту Veracode, 79% перенесённых в код проектов сторонних библиотек в последующем никогда не обновляются).
Выделены три основные категории приложений, использующих уязвимые версии Log4j:
  • 2.8% приложений продолжают использовать версии Log4j с 2.0-beta9 по 2.15.0, содержащие уязвимость Log4Shell (CVE-2021-44228).
  • 3.8% приложений используют выпуск Log4j2 2.17.0, в котором уязвимость Log4Shell устранена, но остаётся не исправленной уязвимость CVE-2021-44832, позволяющая организовать удалённое выполнение кода (RCE).
  • 32% приложений используют ветку Log4j2 1.2.x, поддержка которой завершилось ещё в 2015 году. Данная ветка подвержена критическим уязвимостям CVE-2022-23307, CVE-2022-23305 и CVE-2022-23302, выявленным в 2022 году спустя 7 лет после прекращения сопровождения.

===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_log4j, #_log4shell
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 21-Ноя 14:46
Часовой пояс: UTC + 5