資安廠商 Veracode 近日發表統計報告發現,在 Log4J 嚴重資安漏洞 CVE-2021-44228 公開後近 2 年,仍有近 38% 使用 Log4J 的應用程式,仍在使用含有漏洞的舊版程式庫。
Log4J 是由 Apache 基金會推出的開源程式庫,廣泛運用於大量網路相關應用程式中;在 2021 年 12 月時發現內含一個嚴重的免驗證遠端執行任意程式碼漏洞 Log4Shell,其 CVE 編號為 CVE-2021-44228,其漏洞危險程度評分高達滿分的 10 分。由於其使用的便利性,加上廣泛用於大量應用程式中,幾可稱為近年來最嚴重的資安漏洞,造成極大的危機。
而在 Log4J 漏洞公開並發布修補版本的兩年後,Veracode 以 90 天的時間,自 2023 年 8 月中到 11 月中,針對 3,866 個公私單位所使用的 38,278 個使用 Log4J 程式庫版本 1.1 到 3.0.0-alpha1 的應用程式進行普查,發現下列問題:
- 有 2.8% 仍在使用 Log4J 2.0-beta9 到 2.15.0,而這些版本直接內含 Log4Shell 漏洞;
- 有 3.8% 使用 Log4J 2.17.0,雖然這個版本不含 Log4Shell 漏洞,但仍含有另一個遠端執行任意程式碼漏洞 CVE-2021-44832;
- 有高達 32% 仍使用早在 2015 年 8 月就不再受到 Apache 官方支援的 Log4J 1.2.x 版本;這些版本含有多個漏洞,包括 CVE-2022-23307、CVE-2022-23305 和 CVE-2022-23302 等。
上述應用程式合計達到 38%,仍在使用含有多種漏洞的舊版 Log4J 程式庫。
Veracode 也在調查中指出,有高達 79% 開發者在完成其程式碼後,為了擔心功能受到影響,因而從不更新使用的第三方程式庫版本;然而 65% 的開源程式碼的小改版,並不會影響其功能。
統計也指出,有 50% 的程式開發專案,在被發現高危險性安全漏洞後,要花上超過 65 天才會處理其資安問題。
使用各種第三方程式庫的開發專案,應更加注意程式庫的資安通報,在有更新版本時盡早更新程式庫,以免造成資安問題。
- 參考連結
State of Log4j Vulnerabilities: How Much Did Log4Shell Change?
https://www.veracode.com/blog/research/state-log4j-vulnerabilities-how-much-did-log4shell-change
Over 30% of Log4J apps use a vulnerable version of the library
留言列表