Cyberduck: CVE-2021-44228

El CD parece estar usando una versión muy antigua (1.2.17) https://github.com/iterate-ch/cyberduck/blob/e4c2dfe5c1e5623a5bfc484ae3f4ae58a1e929f1/pom.xml#L198 que tiene otros problemas de seguridad https://www.cvedetails. com/cve/CVE-2019-17571/

Como se dijo, no tenemos una dependencia para Apache Log4j 2. Además, como una aplicación de escritorio del lado del cliente, no parece relevante.

@dkocher ¿Dónde se discutió esto antes? Busqué pero no encontré.
CD depende de log4J 1, no 2, pero 1 parece estar también afectado https://twitter.com/nluedtke1/status/1469435658389561345
Incluso como una aplicación del lado del cliente, tal vez te conectes a un servidor que tiene archivos con escapes $ que registras y ejecutas.

@ dkocher log4j aparece en su pom.xml, ¿así que parece que algo lo está usando?

También veo un archivo de configuración: https://github.com/iterate-ch/cyberduck/blob/fa0aa0d5d7b07ec09a4c328b2c0cf9a56bf01c4d/core/src/main/resources/log4j.xml

Además de referencias a él en su código: https://github.com/iterate-ch/cyberduck/blob/745598c7f84e48b21d7b7b6679db926d5d6e98e4/core/src/main/java/ch/cyberduck/core/logging/LoggerPrintStream.java#L19

Tiene sentido alejarse/actualizarse eventualmente de Log4j 1.x, pero no veo una urgencia inmediata en esta actualización de dependencia . No veo que CVE-2019-17571 nos afecte, ya que tengo entendido que este uso debería configurarse explícitamente.

CVE-2019-17571 está relacionado con las versiones log4j >= 1.2, <= 1.2.27. En el paquete Cyberduck, encuentro log4j-1.2.17. ¿Por qué eso no afecta a Cyberduck, aunque sí afecta a la versión de log4j?

Porque esa vulnerabilidad solo afecta a log4j SocketServer que, cuando se usa para iniciar sesión de forma centralizada desde clientes remotos, puede ejecutar código arbitrario. Cyberduck no proporciona un objetivo de registro central, por lo que no se ve afectado.

al escuchar tráfico de red no confiable para datos de registro

Dado que log4j 1 está fuera de soporte, las vulnerabilidades no se rastrean y tenemos que asumir que no es seguro.

Dado que log4j 1 está fuera de soporte, las vulnerabilidades no se rastrean y tenemos que asumir que no es seguro.

Log4j 1.x no presenta la funcionalidad JNDI que causó CVE-2021-44228

Pero puede tener otros problemas no documentados.

Pero puede tener otros problemas no documentados.

Como cualquier software.

Los mantenedores de log4j solo documentan y solucionan problemas en versiones compatibles. Usar log4j 1 es como usar Windows XP: ni siquiera conoce las formas en que podría ser atacado.

Ya hay bastantes empresas (grandes) que no permiten ninguna biblioteca log4j antigua (vulnerable) en las computadoras portátiles de los empleados. Sin una versión adecuada de log4j, cyberduck ya no funciona, ya que la biblioteca se elimina automáticamente de los dispositivos de la empresa.

Ya hay bastantes empresas (grandes) que no permiten ninguna biblioteca log4j antigua (vulnerable) en las computadoras portátiles de los empleados. Sin una versión adecuada de log4j, cyberduck ya no funciona, ya que la biblioteca se elimina automáticamente de los dispositivos de la empresa.

He abierto #12706.