Deux ans après la divulgation de la vulnérabilité Log4Shell dans l’outil de journalisation open source Log4j basé sur Java, environ un quart des applications dépendent de bibliothèques obsolètes, les rendant vulnérables à l’exploitation. Une recherche de la société de sécurité Veracode a révélé que la très grande majorité des applications vulnérables n’ont jamais mis à jour la bibliothèque Log4j après son implémentation par les développeurs, car 32 % d’entre elles fonctionnaient avec des versions obsolètes. Des investigations précédentes de Veracode ont également montré que 79 % des développeurs ne mettent jamais à jour les bibliothèques tierces après les avoir introduites dans leurs projets. Et étant donné que Log4j2 – la version spécifique de Log4j affectée par la vulnérabilité – date de 2014, cela explique peut-être la grande proportion d’applications non patchées. Une bien plus petite minorité utilise encore des versions vulnérables au moment de la divulgation de la vulnérabilité Log4j en décembre 2021. Seuls 2,8 % des utilisateurs utilisent toujours les versions 2.0-beta9 à 2.15.0 – des versions post-EOL exposées à Log4Shell, le surnom de l’industrie de l’exploit de la vulnérabilité. Environ 3,8 % des utilisateurs utilisent toujours la version 2.17, une version post-patch de l’enregistreur Java qui n’est pas exposée aux attaques Log4Shell, mais vulnérable à un bug séparé d’exécution de code à distance (CVE-2021-44832).
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du
