The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Треть Java-проектов на базе библиотеки Log4j продолжают использовать уязвимые версии

14.12.2023 13:48

Компания Veracode опубликовала результаты исследования актуальности критических уязвимостей в Java-библиотеке Log4j, выявленных в прошлом и позапрошлом годах. Изучив 38278 приложений, используемых в 3866 организациях, исследователи из Veracode обнаружили, что 38% из них используют уязвимые версии Log4j. Основной причиной продолжения применения устаревшего кода является встраивание в проекты старых библиотек или трудоёмкость миграции с уже неподдерживаемых веток на новые ветки, в которых нарушена обратная совместимость (судя по прошлому отчёту Veracode, 79% перенесённых в код проектов сторонних библиотек в последующем никогда не обновляются).

Выделены три основные категории приложений, использующих уязвимые версии Log4j:

  • 2.8% приложений продолжают использовать версии Log4j с 2.0-beta9 по 2.15.0, содержащие уязвимость Log4Shell (CVE-2021-44228).
  • 3.8% приложений используют выпуск Log4j2 2.17.0, в котором уязвимость Log4Shell устранена, но остаётся не исправленной уязвимость CVE-2021-44832, позволяющая организовать удалённое выполнение кода (RCE).
  • 32% приложений используют ветку Log4j2 1.2.x, поддержка которой завершилось ещё в 2015 году. Данная ветка подвержена критическим уязвимостям CVE-2022-23307, CVE-2022-23305 и CVE-2022-23302, выявленным в 2022 году спустя 7 лет после прекращения сопровождения.


  1. Главная ссылка к новости (https://www.veracode.com/blog/...)
  2. OpenNews: Оценка проблем с сопровождением открытых проектов и использованием старых зависимостей
  3. OpenNews: Критическая 0-day уязвимость в Spring Framework, применяемом во многих Java-проектах
  4. OpenNews: Обновление Log4j 2.17.1 с устранением ещё одной уязвимости
  5. OpenNews: Критическая уязвимость в Apache Log4j 2, затрагивающая многие Java-проекты
  6. OpenNews: Третья уязвимость в Log4j 2. Проблемы в Log4j затрагивают 8% Maven-пакетов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60287-log4j
Ключевые слова: log4j, log4shell
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:59, 14/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Не работает не трожь.
     
     
  • 2.3, Аноним (-), 15:28, 14/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А если работает плохо?
    Описанные уязвимости могут и хорошим боком вылезти.
     
     
  • 3.5, pfg21 (ok), 15:58, 14/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    если косяк не выявлен - значит он не мешает и все работает :) классика жанра.
     

  • 1.2, FF (?), 15:16, 14/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Это суровый энтерпрайз и не только, а не "Hello, I'm SPA over Nodejs. I will fill your ass by updates for all my litle modules..."
     
     
  • 2.4, RarogCmex2 (?), 15:58, 14/12/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если суровый энтерпрайз означает то, что тебя взломают из-за луддизма, то в гробу я эту суровость видел.
     
     
  • 3.6, pfg21 (ok), 16:00, 14/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    суровый кровавый энтерпрайз очень не любит обновлений.  
    доказано практикой.
     
     
  • 4.26, User (??), 09:10, 15/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Угу. И не то, чтобы совсем зря. Поломают или там не поломают какую осенно-важную отчетилку за-тремя-файрволлами-в-двух-vlan'ах-от-тебя - это пускай вот у тех вот из СБ голова болит, а то, что гм, ногокрылые со своим новым-лудшим-обновлением разэтасамят примерно все, от форматов данных до математики и UI\UX - к гадалке не ходи. А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все...
     
     
  • 5.34, aim (ok), 16:08, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все...

    как правило это всё упирается "ой, а мы что-то зарелизили 10 лет назад, васян нам в виде бинарей принёс, а где исходники знает только пред-пред-пред-пред-предыдущий владелец проекта"

     
     
  • 6.35, User (??), 18:50, 19/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> А выпускать "обновления безопасности" в отдельной ветке - способны не только лишь все...
    > как правило это всё упирается "ой, а мы что-то зарелизили 10 лет
    > назад, васян нам в виде бинарей принёс, а где исходники знает
    > только пред-пред-пред-пред-предыдущий владелец проекта"

    Это если проект был - а то и вовсе "библиотека-на-delphi" замнчальника АСУ ТП 10 лет назад для себя написал )))

     
  • 3.15, Вирт (?), 19:32, 14/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По крайней мере часть уязвимостей выглядит несерьезными:

    https://security-tracker.debian.org/tracker/CVE-2022-23302
    > when the attacker has write access to the Log4j configuration

    То есть у атакующего должны быть права админа.
    А если у него есть права админа, то нафига ему log4j.

     
  • 3.23, Бывалый смузихлёб (?), 06:42, 15/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    угу. Либу обновил - ынтыпрайс, неведомым чудом работавший, хотя кое-как подпёртый со всех стором уймой палок и гомна - упал
    Пока неделю чинил - контора стояла. Вроде починил, но что-то не работает. Починил - другой костыль отвалился
    Будь добр занести пачку лимонов в виде компенсации ущерба за простой и пойти нахрен ибо уволен по статье
     
     
  • 4.31, zog (??), 22:26, 15/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обновил log4j и твой вдыртынпрайз упал лишь поэтому? Этот как же криво у вас там всё написано?
     
  • 4.33, Аноним (33), 14:22, 18/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У сурового ынтерпрайза нет денех на тестовый стенд?
     

  • 1.7, Аноним (7), 16:25, 14/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, нельзя было выпустить патч версии минорных веток? Что-то типа 2.14.1.
     
     
  • 2.9, ИмяХ (ok), 16:36, 14/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если б это кому-то нужно было, давно бы сделали.
     

  • 1.10, Аноним (10), 16:40, 14/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Когда писал на Java ещё до времён Андроида - удивила любовь к исползованию этой библиотеки. Причем просто логировагие дебажного вывода. Вот и итог...
     
     
  • 2.20, Аноним (20), 01:35, 15/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А почему перестал писать?
     
     
  • 3.24, Бывалый смузихлёб (?), 06:43, 15/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Когда писал на Java

    Потому что уже давно есть котлин ?

     

  • 1.11, Аноним (11), 17:53, 14/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Однажды у меня на сервере в Hetzner исчезла целая папка с Java runtime. С тех пор я поумнел.
     
     
  • 2.14, Аноним (14), 19:22, 14/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ничего скоро в январе у РФ аккаунтов все файлы на хетзнере пропадут.
     

  • 1.12, Ivan_83 (ok), 19:13, 14/12/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +7 +/
     

     ....ответы скрыты (5)

  • 1.19, Аноним (19), 00:43, 15/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как в древней рекламе: " - Вы всё ещё кипятите? Тогда мы идем к вам!"
     
  • 1.22, Аноним (22), 06:20, 15/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Открою страшную тайну там где корпорации, так всем насрать какая там версия log4j там в принципе никому не инетерсно какое решение и на чем оно работает. Пока оно не принесло убытки в миллионы там репу или что они там чешут не почешут... Исключение наверное только крупные банки, там да иногда следят за безопстностю...
     
     
  • 2.29, лютый арчешкольник... (?), 17:34, 15/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Открою страшную тайну там где корпорации,

    ты звиздишь... в системообразующих конторах постоянно покупают аудиты и пентесты. другая проблема, что обновить все 100500 зоопарков одним днем не выйдет.

     
     
  • 3.32, Аноним (32), 08:55, 17/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > в системообразующих конторах постоянно покупают аудиты и пентесты

    в остальном мире всем насрать это факт подтвержденный опытом более чем 25 лет...

    в зазаборье мне неизвестно, так как уровень ИТ продуктов кране секретен и редко кому вообще неизвестен в условиях этакой редкостной секретности, а как следствие и ломать его крайне сложно.

     

  • 1.27, Golangdev (?), 09:51, 15/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    И ниодна ж падла, кто торгует безопасностью, не напишет, что с помощью этой уязвимости можно реально что-то сделать.

    Пруфы в студию, сколько проектов взломали через эту уязвимость ?

     
     
  • 2.30, Bottle (?), 18:37, 15/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Minecraft - игра с миллионами игроков, как на лицензионных, так и на пиратских серверах.
    Уязвимость Log4J вкупе с "интересно" написанным кодом Minecraft'а привела к тому, что для произвольного исполнения кода нужно было всего лишь написать специально оформленный текст в чат.
     

  • 1.28, banonymous (?), 13:38, 15/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Данная уязвимость воспроизводится только при использовании log4j с форматированием логов через PatternLayout.
    Если вы используете другой, например json формат, то проблемы нет даже с уязвимой версией.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру