Несмотря на активные усилия индустрии по устранению уязвимости Log4Shell в утилите ведения логов Log4j на базе Java с открытым исходным кодом, более 25% приложений по-прежнему подвержены потенциальной эксплуатации, говорится в новом исследовании Veracode.
Исследование показало, что значительная часть этих уязвимых приложений использует устаревшие библиотеки, причем 32% из них используют версии, вышедшие до 2015 года. Отчет вызывает обеспокоенность тем, что разработчики пренебрегают обновлением библиотек сторонних разработчиков.
Ранее Veracode уже сообщала о том, что 79% разработчиков никогда не обновляют эти библиотеки после первоначального внедрения. Даже после раскрытия информации о Log4Shell в декабре 2021 года чуть менее 35% приложений все еще подвержены этому эксплойту, что подчеркивает необходимость более строгих практик безопасности открытого кода.
Источник: Ferra