https://twitter.com/nluedtke1/status/1469435658389561345
log4j 1.x 的一些配置似乎很容易受到攻击——cyberduck 是否使用其中之一?
如前所述,我们对 Apache Log4j 2 没有依赖关系。此外,作为客户端桌面应用程序,它似乎并不相关。
@dkocher之前在哪里讨论过这个? 我搜索但没有找到。
CD 取决于 log4J 1,而不是 2,但 1 似乎也受到影响https://twitter.com/nluedtke1/status/1469435658389561345
即使作为客户端应用程序,您也可能连接到服务器,该服务器包含您记录并运行的带有 $ 转义符的文件。
@dkocher log4j 出现在你的 pom.xml 中——所以似乎有什么东西在使用它?
我还看到了一个配置文件 - https://github.com/iterate-ch/cyberduck/blob/fa0aa0d5d7b07ec09a4c328b2c0cf9a56bf01c4d/core/src/main/resources/log4j.xml
最终从 Log4j 1.x 移走/升级是有意义的,但我认为这种依赖升级没有紧迫性。 我认为CVE-2019-17571不会影响我们,因为据我了解,这种用法需要明确配置。
CVE-2019-17571 与 log4j 版本 >= 1.2、<= 1.2.27 有关。 在 Cyberduck 包中,我找到了 log4j-1.2.17。 即使 log4j 的版本受到影响,为什么这不会影响 Cyberduck?
因为该漏洞只影响 log4j SocketServer,当它用于从远程客户端集中记录时,可以执行任意代码。 Cyberduck 不提供中央日志记录目标,因此不受影响。
在为日志数据侦听不受信任的网络流量时
由于 log4j 1 不支持,因此不会跟踪漏洞,我们必须假设它是不安全的。
由于 log4j 1 不支持,因此不会跟踪漏洞,我们必须假设它是不安全的。
Log4j 1.x 不具备导致CVE-2021-44228的 JNDI 功能
但它可能还有其他未记录的问题。
但它可能还有其他未记录的问题。
像任何软件一样。
log4j 维护人员仅记录和修复受支持版本的问题。 使用 log4j 1 就像使用 Windows XP:你甚至不知道你会受到攻击的方式。
已经有很多(大型)公司不允许在员工笔记本电脑上使用任何旧的(易受攻击的)log4j 库。 如果没有合适的 log4j 版本,cyberduck 将不再工作,因为该库会自动从公司设备中删除。
已经有很多(大型)公司不允许在员工笔记本电脑上使用任何旧的(易受攻击的)log4j 库。 如果没有合适的 log4j 版本,cyberduck 将不再工作,因为该库会自动从公司设备中删除。
我打开了#12706。
最有用的评论
我打开了#12706。