close

_14_2023.12.12_現今仍有_38__Log4J_應用程式使用有漏洞舊版程式庫

資安廠商 Veracode 近日發表統計報告發現,在 Log4J 嚴重資安漏洞 CVE-2021-44228 公開後近 2 年,仍有近 38% 使用 Log4J 的應用程式,仍在使用含有漏洞的舊版程式庫。

Log4J 是由 Apache 基金會推出的開源程式庫,廣泛運用於大量網路相關應用程式中;在 2021 年 12 月時發現內含一個嚴重的免驗證遠端執行任意程式碼漏洞 Log4Shell,其 CVE 編號為 CVE-2021-44228,其漏洞危險程度評分高達滿分的 10 分。由於其使用的便利性,加上廣泛用於大量應用程式中,幾可稱為近年來最嚴重的資安漏洞,造成極大的危機。

而在 Log4J 漏洞公開並發布修補版本的兩年後,Veracode 以 90 天的時間,自 2023 年 8 月中到 11 月中,針對 3,866 個公私單位所使用的 38,278 個使用 Log4J 程式庫版本 1.1 到 3.0.0-alpha1 的應用程式進行普查,發現下列問題:

  • 有 2.8% 仍在使用 Log4J 2.0-beta9 到 2.15.0,而這些版本直接內含 Log4Shell 漏洞;
  • 有 3.8% 使用 Log4J 2.17.0,雖然這個版本不含 Log4Shell 漏洞,但仍含有另一個遠端執行任意程式碼漏洞 CVE-2021-44832;
  • 有高達 32% 仍使用早在 2015 年 8 月就不再受到 Apache 官方支援的 Log4J 1.2.x 版本;這些版本含有多個漏洞,包括 CVE-2022-23307、CVE-2022-23305 和 CVE-2022-23302 等。

上述應用程式合計達到 38%,仍在使用含有多種漏洞的舊版 Log4J 程式庫。

Veracode 也在調查中指出,有高達 79% 開發者在完成其程式碼後,為了擔心功能受到影響,因而從不更新使用的第三方程式庫版本;然而 65% 的開源程式碼的小改版,並不會影響其功能。

統計也指出,有 50% 的程式開發專案,在被發現高危險性安全漏洞後,要花上超過 65 天才會處理其資安問題。

使用各種第三方程式庫的開發專案,應更加注意程式庫的資安通報,在有更新版本時盡早更新程式庫,以免造成資安問題。

  • 參考連結

State of Log4j Vulnerabilities: How Much Did Log4Shell Change?

https://www.veracode.com/blog/research/state-log4j-vulnerabilities-how-much-did-log4shell-change

Over 30% of Log4J apps use a vulnerable version of the library

https://www.bleepingcomputer.com/news/security/over-30-percent-of-log4j-apps-use-a-vulnerable-version-of-the-library/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()