Cyberduck: CVE-2021-44228

CD scheint eine wirklich alte Version (1.2.17) https://github.com/iterate-ch/cyberduck/blob/e4c2dfe5c1e5623a5bfc484ae3f4ae58a1e929f1/pom.xml#L198 zu verwenden, die andere Sicherheitsprobleme hat https://www.cvedetails. com/cve/CVE-2019-17571/

Wie gesagt, wir haben keine Abhängigkeit für Apache Log4j 2. Auch als clientseitige Desktop-Anwendung scheint es nicht relevant zu sein.

@dkocher Wo wurde das schon mal diskutiert? Ich habe gesucht, aber nicht gefunden.
CD hängt von log4J 1 ab, nicht 2, aber 1 scheint auch betroffen zu sein https://twitter.com/nluedtke1/status/1469435658389561345
Selbst als clientseitige App stellen Sie vielleicht eine Verbindung zu einem Server her, der Dateien mit $-Escapezeichen enthält, die Sie protokollieren und ausführen.

@dkocher log4j wird in Ihrer pom.xml angezeigt - also scheint etwas es zu verwenden?

Ich sehe auch eine Konfigurationsdatei dafür - https://github.com/iterate-ch/cyberduck/blob/fa0aa0d5d7b07ec09a4c328b2c0cf9a56bf01c4d/core/src/main/resources/log4j.xml

Sowie Verweise darauf in Ihrem Code – https://github.com/iterate-ch/cyberduck/blob/745598c7f84e48b21d7b7b6679db926d5d6e98e4/core/src/main/java/ch/cyberduck/core/logging/LoggerPrintStream.java#L19

Es ist sinnvoll, irgendwann von Log4j 1.x wegzuziehen/zu aktualisieren, aber ich sehe keine unmittelbare Dringlichkeit in diesem Abhängigkeits-Upgrade . Ich sehe nicht, dass CVE-2019-17571 uns betreffen würde, da nach meinem Verständnis diese Verwendung explizit konfiguriert werden müsste.

CVE-2019-17571 bezieht sich auf log4j-Versionen >= 1.2, <= 1.2.27. Im Cyberduck-Paket finde ich log4j-1.2.17. Warum betrifft das Cyberduck nicht, obwohl die Version von log4j betroffen ist?

Denn diese Schwachstelle betrifft nur den log4j SocketServer, der, wenn er zur zentralen Protokollierung von entfernten Clients verwendet wird, beliebigen Code ausführen kann. Cyberduck stellt kein zentrales Protokollierungsziel bereit und ist daher nicht betroffen.

beim Abhören von nicht vertrauenswürdigem Netzwerkverkehr auf Protokolldaten

Da log4j 1 nicht mehr unterstützt wird, werden Schwachstellen nicht verfolgt und wir müssen davon ausgehen, dass es unsicher ist.

Da log4j 1 nicht mehr unterstützt wird, werden Schwachstellen nicht verfolgt und wir müssen davon ausgehen, dass es unsicher ist.

Log4j 1.x verfügt nicht über die JNDI-Funktionalität, die CVE-2021-44228 verursacht hat

Aber es kann andere undokumentierte Probleme haben.

Aber es kann andere undokumentierte Probleme haben.

Wie jede Software.

log4j-Betreuer dokumentieren und beheben nur Probleme in unterstützten Versionen. Die Verwendung von log4j 1 ist wie die Verwendung von Windows XP: Sie wissen nicht einmal, auf welche Weise Sie angegriffen werden könnten.

Es gibt bereits eine ganze Reihe von (großen) Unternehmen, die keine alten (anfälligen) log4j-Bibliotheken auf den Laptops der Mitarbeiter zulassen. Ohne eine richtige Version von log4j funktioniert Cyberduck nicht mehr, da die Bibliothek automatisch von Firmengeräten entfernt wird.

Es gibt bereits eine ganze Reihe von (großen) Unternehmen, die keine alten (anfälligen) log4j-Bibliotheken auf den Laptops der Mitarbeiter zulassen. Ohne eine richtige Version von log4j funktioniert Cyberduck nicht mehr, da die Bibliothek automatisch von Firmengeräten entfernt wird.

Ich habe #12706 geöffnet.