Cyberduck: CVE-2021-44228

يبدو أن القرص المضغوط يستخدم إصدارًا قديمًا بالفعل (1.2.17) https://github.com/iterate-ch/cyberduck/blob/e4c2dfe5c1e5623a5bfc484ae3f4ae58a1e929f1/pom.xml#L198 به مشكلات أمان أخرى https: //www.cvedetails. كوم / cve / CVE-2019-17571 /

كما قيل ، ليس لدينا تبعية لـ Apache Log4j 2. أيضًا كتطبيق سطح مكتب من جانب العميل ، لا يبدو ذا صلة.

dkocher أين تمت مناقشة هذا من قبل؟ لقد بحثت ولكن لم أجد.
يعتمد القرص المضغوط على log4J 1 ، وليس 2 ، ولكن يبدو أن 1 يتأثر أيضًا https://twitter.com/nluedtke1/status/1469435658389561345
حتى لو كنت تطبيقًا من جانب العميل ، فربما تتصل بخادم يحتوي على ملفات بـ escapes $ تقوم بتسجيلها وتشغيلها.

يظهر dkocher log4j في ملف pom.xml - هل يبدو أن شيئًا ما يستخدمه؟

أرى أيضًا ملف تكوين له - https://github.com/iterate-ch/cyberduck/blob/fa0aa0d5d7b07ec09a4c328b2c0cf9a56bf01c4d/core/src/main/resources/log4j.xml

بالإضافة إلى الإشارات إليه في الكود الخاص بك - https://github.com/iterate-ch/cyberduck/blob/745598c7f84e48b21d7b7b6679db926d5d6e98e4/core/src/main/java/ch/cyberduck/core/logging/LoggerPrintStream.java#LoggerPrintStream.java#LoggerPrintStream.java#

من المنطقي في النهاية الابتعاد / الترقية من Log4j 1.x ولكني لا أرى ضرورة ملحة في ترقية التبعية هذه. لا أرى أن CVE-2019-17571 سيؤثر علينا نظرًا لأنني أفهم أن هذا الاستخدام سيحتاج إلى تكوينه بشكل صريح.

CVE-2019-17571 مرتبط بإصدارات log4j> = 1.2 ، <= 1.2.27. في حزمة Cyberduck ، أجد log4j-1.2.17. لماذا لا يؤثر ذلك على Cyberduck ، على الرغم من تأثر إصدار log4j؟

لأن هذه الثغرة الأمنية تؤثر فقط على log4j SocketServer الذي ، عند استخدامه للتسجيل المركزي من العملاء البعيدين ، يمكنه تنفيذ تعليمات برمجية عشوائية. لا يوفر Cyberduck هدفًا مركزيًا للتسجيل ، لذا لا يتأثر.

عند الاستماع إلى حركة مرور الشبكة غير الموثوق بها لبيانات السجل

نظرًا لأن log4j 1 خارج الدعم ، لا يتم تعقب الثغرات الأمنية وعلينا افتراض أنها غير آمنة.

نظرًا لأن log4j 1 خارج الدعم ، لا يتم تعقب الثغرات الأمنية وعلينا افتراض أنها غير آمنة.

لا يتميز Log4j 1.x بوظيفة JNDI التي تسببت في CVE-2021-44228

ولكن قد يكون لديها قضايا أخرى غير موثقة.

ولكن قد يكون لديها قضايا أخرى غير موثقة.

مثل أي برنامج.

يقوم مشرفو صيانة log4j فقط بتوثيق وإصلاح المشكلات في الإصدارات المدعومة. يشبه استخدام log4j 1 استخدام نظام التشغيل Windows XP: فأنت لا تعرف حتى الطرق التي يمكن أن تتعرض للهجوم من خلالها.

يوجد بالفعل عدد كبير من الشركات (الكبيرة) التي لا تسمح بأي مكتبات log4j قديمة (ضعيفة) على أجهزة الكمبيوتر المحمولة للموظفين. بدون إصدار مناسب من log4j ، لا يعمل cyberduck بعد الآن حيث تتم إزالة المكتبة تلقائيًا من أجهزة الشركة.

يوجد بالفعل عدد كبير من الشركات (الكبيرة) التي لا تسمح بأي مكتبات log4j قديمة (ضعيفة) على أجهزة الكمبيوتر المحمولة للموظفين. بدون إصدار مناسب من log4j ، لا يعمل cyberduck بعد الآن حيث تتم إزالة المكتبة تلقائيًا من أجهزة الشركة.

لقد فتحت # 12706.