Cyberduck: CVE-2021-44228

CD tampaknya menggunakan versi yang sangat lama (1.2.17) https://github.com/iterate-ch/cyberduck/blob/e4c2dfe5c1e5623a5bfc484ae3f4ae58a1e929f1/pom.xml#L198 yang memiliki masalah keamanan lainnya https://www.cvedetails. com/cve/CVE-2019-17571/

Seperti yang dikatakan kami tidak memiliki ketergantungan untuk Apache Log4j 2. Juga sebagai aplikasi desktop sisi klien tampaknya tidak relevan.

@dkocher Di mana ini dibahas sebelumnya? Saya mencari tetapi tidak menemukan.
CD tergantung pada log4J 1, bukan 2, tetapi 1 tampaknya juga terpengaruh https://twitter.com/nluedtke1/status/1469435658389561345
Bahkan sebagai aplikasi sisi klien, mungkin Anda terhubung ke server yang memiliki file dengan $ escapes yang Anda log dan jalankan.

@dkocher log4j muncul di pom.xml Anda - jadi sepertinya ada sesuatu yang menggunakannya?

Saya juga melihat file konfigurasi untuk itu - https://github.com/iterate-ch/cyberduck/blob/fa0aa0d5d7b07ec09a4c328b2c0cf9a56bf01c4d/core/src/main/resources/log4j.xml

Serta referensi untuk itu dalam kode Anda- https://github.com/iterate-ch/cyberduck/blob/745598c7f84e48b21d7b7b6679db926d5d6e98e4/core/src/main/Java/ch/cyberduck/core/logging/LoggerPrintStream.java#L19

Masuk akal untuk akhirnya pindah/meningkatkan dari Log4j 1.x tetapi saya tidak melihat urgensi langsung dalam peningkatan ketergantungan ini. Saya tidak melihat bahwa CVE-2019-17571 akan memengaruhi kami karena menurut pemahaman saya, penggunaan ini perlu dikonfigurasi secara eksplisit.

CVE-2019-17571 terkait dengan versi log4j >= 1.2, <= 1.2.27. Dalam paket Cyberduck, saya menemukan log4j-1.2.17. Mengapa itu tidak mempengaruhi Cyberduck, meskipun versi log4j terpengaruh?

Karena kerentanan itu hanya memengaruhi SocketServer log4j yang, ketika digunakan untuk masuk secara terpusat dari klien jarak jauh, dapat mengeksekusi kode arbitrer. Cyberduck tidak menyediakan target logging pusat sehingga tidak terpengaruh.

saat mendengarkan lalu lintas jaringan yang tidak tepercaya untuk data log

Karena log4j 1 tidak didukung, kerentanan tidak dilacak dan kami harus berasumsi bahwa itu tidak aman.

Karena log4j 1 tidak didukung, kerentanan tidak dilacak dan kami harus berasumsi bahwa itu tidak aman.

Log4j 1.x tidak menampilkan fungsionalitas JNDI yang menyebabkan CVE-2021-44228

Tapi mungkin ada masalah lain yang tidak terdokumentasi.

Tapi mungkin ada masalah lain yang tidak terdokumentasi.

Seperti perangkat lunak apa pun.

pengelola log4j hanya mendokumentasikan dan memperbaiki masalah pada versi yang didukung. Menggunakan log4j 1 seperti menggunakan Windows XP: Anda bahkan tidak tahu bagaimana Anda bisa diserang.

Sudah ada cukup banyak perusahaan (besar) yang tidak mengizinkan pustaka log4j lama (rentan) di laptop karyawan. Tanpa versi log4j yang tepat, cyberduck tidak berfungsi lagi karena perpustakaan secara otomatis dihapus dari perangkat perusahaan.

Sudah ada cukup banyak perusahaan (besar) yang tidak mengizinkan pustaka log4j lama (rentan) di laptop karyawan. Tanpa versi log4j yang tepat, cyberduck tidak berfungsi lagi karena perpustakaan secara otomatis dihapus dari perangkat perusahaan.

Saya telah membuka #12706.