Trots att det har skrivits mängder av artiklar om sårbarheten Log4shell (CVE-2021-44228) är det fortfarande många som laddar ner äldre versioner av Apache Log4j, det vill säga version 2.14 och tidigare.

Enligt säkerhetsföretaget Sonatype har dessa versioner laddats ner 4 miljoner gånger från Maven Central under den senaste månaden, vilket innebär att 4 av 10 användare har valt att ladda ner en sårbar version i stället för en säker version.

Sedan sårbarheten rapporterades den 10 december har Apache skickat ut tre uppdateringar, så det är lite av ett mysterium varför så många användare inte laddar ner 2.15, 2.16 eller 2.17.

Ilkka Turunen från Sonatype säger i en kommentar till The Register att det i vissa fall kan röra sig om tester och liknande, men i de flesta fall handlar det troligtvis om att användarna i fråga inte hört talas om sårbarheten.