Cyberduck: CVE-2021-44228

CDは本当に古いバージョン（1.2.17）を使用しているようですhttps://github.com/iterate-ch/cyberduck/blob/e4c2dfe5c1e5623a5bfc484ae3f4ae58a1e929f1/pom.xml#L198他のセキュリティ問題がありますhttps：//www.cvedetails。 com / cve / CVE-2019-17571 /

前述のように、Apache Log4j 2には依存関係がありません。また、クライアント側のデスクトップアプリケーションとしては、関連性がないようです。

@dkocherこれは以前どこで議論されましたか？ 検索しましたが見つかりませんでした。
CDはlog4J1に依存しますが、2ではありませんが1も影響を受けるようですhttps://twitter.com/nluedtke1/status/1469435658389561345
クライアント側のアプリとしても、ログに記録して実行する$エスケープ付きのファイルがあるサーバーに接続する場合があります。

@dkocher log4jがpom.xmlに表示されるので、何かがそれを使用しているように見えますか？

そのための構成ファイルも表示されます-https：//github.com/iterate-ch/cyberduck/blob/fa0aa0d5d7b07ec09a4c328b2c0cf9a56bf01c4d/core/src/main/resources/log4j.xml

コード内の参照と同様に-https ：//github.com/iterate-ch/cyberduck/blob/745598c7f84e48b21d7b7b6679db926d5d6e98e4/core/src/main/java/ch/cyberduck/core/logging/LoggerPrintStream.java#L19

最終的にLog4j1.xから離れる/アップグレードすることは理にかなっていますが、この依存関係のアップグレードに緊急性はありません。 私の理解では、この使用法を明示的に構成する必要があるため、 CVE-2019-17571が私たちに影響を与えるとは思いません。

CVE-2019-17571は、log4jバージョン> = 1.2、<= 1.2.27に関連しています。 Cyber​​duckパッケージには、log4j-1.2.17があります。 log4jのバージョンが影響を受けているのに、なぜそれがCyber​​duckに影響を与えないのですか？

この脆弱性はlog4jSocketServerにのみ影響するため、リモートクライアントから一元的にログを記録するために使用すると、任意のコードを実行できます。 Cyber​​duckは中央のログターゲットを提供していないため、影響を受けません。

ログデータの信頼できないネットワークトラフィックをリッスンする場合

log4j 1はサポートされていないため、脆弱性は追跡されず、安全ではないと想定する必要があります。

log4j 1はサポートされていないため、脆弱性は追跡されず、安全ではないと想定する必要があります。

Log4j 1.xは、 CVE-2021-44228の原因となったJNDI機能を備えていません

ただし、他の文書化されていない問題がある可能性があります。

ただし、他の文書化されていない問題がある可能性があります。

他のソフトウェアと同じように。

log4jメンテナは、サポートされているバージョンの問題のみを文書化して修正します。 log4j 1を使用することは、Windows XPを使用することに似ています。つまり、攻撃を受ける可能性がある方法すらわかりません。

従業員のラップトップで古い（脆弱な）log4jライブラリを許可しない（大規模な）企業はすでにかなりの数あります。 log4jの適切なバージョンがないと、ライブラリが会社のデバイスから自動的に削除されるため、cyberduckは機能しなくなります。

従業員のラップトップで古い（脆弱な）log4jライブラリを許可しない（大規模な）企業はすでにかなりの数あります。 log4jの適切なバージョンがないと、ライブラリが会社のデバイスから自動的に削除されるため、cyberduckは機能しなくなります。

＃12706を開きました。