Cyberduck: CVE-2021-44228

CD 似乎使用的是一个非常旧的版本 (1.2.17) https://github.com/iterate-ch/cyberduck/blob/e4c2dfe5c1e5623a5bfc484ae3f4ae58a1e929f1/pom.xml#L198有其他安全问题https://www.cvedetails。 com/cve/CVE-2019-17571/

如前所述，我们对 Apache Log4j 2 没有依赖关系。此外，作为客户端桌面应用程序，它似乎并不相关。

@dkocher之前在哪里讨论过这个？ 我搜索但没有找到。
CD 取决于 log4J 1，而不是 2，但 1 似乎也受到影响https://twitter.com/nluedtke1/status/1469435658389561345
即使作为客户端应用程序，您也可能连接到服务器，该服务器包含您记录并运行的带有 $ 转义符的文件。

@dkocher log4j 出现在你的 pom.xml 中——所以似乎有什么东西在使用它？

我还看到了一个配置文件 - https://github.com/iterate-ch/cyberduck/blob/fa0aa0d5d7b07ec09a4c328b2c0cf9a56bf01c4d/core/src/main/resources/log4j.xml

以及在您的代码中对它的引用 - https://github.com/iterate-ch/cyberduck/blob/745598c7f84e48b21d7b7b6679db926d5d6e98e4/core/src/main/java/ch/cyberduck/core/logging/LoggerPrintStream.java#L19

最终从 Log4j 1.x 移走/升级是有意义的，但我认为这种依赖升级没有紧迫性。 我认为CVE-2019-17571不会影响我们，因为据我了解，这种用法需要明确配置。

CVE-2019-17571 与 log4j 版本 >= 1.2、<= 1.2.27 有关。 在 Cyber​​duck 包中，我找到了 log4j-1.2.17。 即使 log4j 的版本受到影响，为什么这不会影响 Cyber​​duck？

因为该漏洞只影响 log4j SocketServer，当它用于从远程客户端集中记录时，可以执行任意代码。 Cyber​​duck 不提供中央日志记录目标，因此不受影响。

在为日志数据侦听不受信任的网络流量时

由于 log4j 1 不支持，因此不会跟踪漏洞，我们必须假设它是不安全的。

由于 log4j 1 不支持，因此不会跟踪漏洞，我们必须假设它是不安全的。

Log4j 1.x 不具备导致CVE-2021-44228的 JNDI 功能

但它可能还有其他未记录的问题。

但它可能还有其他未记录的问题。

像任何软件一样。

log4j 维护人员仅记录和修复受支持版本的问题。 使用 log4j 1 就像使用 Windows XP：你甚至不知道你会受到攻击的方式。

已经有很多（大型）公司不允许在员工笔记本电脑上使用任何旧的（易受攻击的）log4j 库。 如果没有合适的 log4j 版本，cyberduck 将不再工作，因为该库会自动从公司设备中删除。

已经有很多（大型）公司不允许在员工笔记本电脑上使用任何旧的（易受攻击的）log4j 库。 如果没有合适的 log4j 版本，cyberduck 将不再工作，因为该库会自动从公司设备中删除。

我打开了#12706。