https://twitter.com/nluedtke1/status/1469435658389561345
log4j 1.xの一部の構成は脆弱であるようです-cyberduckはそれらの1つを使用していますか?
CDは本当に古いバージョン(1.2.17)を使用しているようですhttps://github.com/iterate-ch/cyberduck/blob/e4c2dfe5c1e5623a5bfc484ae3f4ae58a1e929f1/pom.xml#L198他のセキュリティ問題がありますhttps://www.cvedetails。 com / cve / CVE-2019-17571 /
前述のように、Apache Log4j 2には依存関係がありません。また、クライアント側のデスクトップアプリケーションとしては、関連性がないようです。
@dkocherこれは以前どこで議論されましたか? 検索しましたが見つかりませんでした。
CDはlog4J1に依存しますが、2ではありませんが1も影響を受けるようですhttps://twitter.com/nluedtke1/status/1469435658389561345
クライアント側のアプリとしても、ログに記録して実行する$エスケープ付きのファイルがあるサーバーに接続する場合があります。
@dkocher log4jがpom.xmlに表示されるので、何かがそれを使用しているように見えますか?
そのための構成ファイルも表示されます-https://github.com/iterate-ch/cyberduck/blob/fa0aa0d5d7b07ec09a4c328b2c0cf9a56bf01c4d/core/src/main/resources/log4j.xml
コード内の参照と同様に-https ://github.com/iterate-ch/cyberduck/blob/745598c7f84e48b21d7b7b6679db926d5d6e98e4/core/src/main/java/ch/cyberduck/core/logging/LoggerPrintStream.java#L19
最終的にLog4j1.xから離れる/アップグレードすることは理にかなっていますが、この依存関係のアップグレードに緊急性はありません。 私の理解では、この使用法を明示的に構成する必要があるため、 CVE-2019-17571が私たちに影響を与えるとは思いません。
CVE-2019-17571は、log4jバージョン> = 1.2、<= 1.2.27に関連しています。 Cyberduckパッケージには、log4j-1.2.17があります。 log4jのバージョンが影響を受けているのに、なぜそれがCyberduckに影響を与えないのですか?
この脆弱性はlog4jSocketServerにのみ影響するため、リモートクライアントから一元的にログを記録するために使用すると、任意のコードを実行できます。 Cyberduckは中央のログターゲットを提供していないため、影響を受けません。
ログデータの信頼できないネットワークトラフィックをリッスンする場合
log4j 1はサポートされていないため、脆弱性は追跡されず、安全ではないと想定する必要があります。
log4j 1はサポートされていないため、脆弱性は追跡されず、安全ではないと想定する必要があります。
Log4j 1.xは、 CVE-2021-44228の原因となったJNDI機能を備えていません
ただし、他の文書化されていない問題がある可能性があります。
ただし、他の文書化されていない問題がある可能性があります。
他のソフトウェアと同じように。
log4jメンテナは、サポートされているバージョンの問題のみを文書化して修正します。 log4j 1を使用することは、Windows XPを使用することに似ています。つまり、攻撃を受ける可能性がある方法すらわかりません。
従業員のラップトップで古い(脆弱な)log4jライブラリを許可しない(大規模な)企業はすでにかなりの数あります。 log4jの適切なバージョンがないと、ライブラリが会社のデバイスから自動的に削除されるため、cyberduckは機能しなくなります。
従業員のラップトップで古い(脆弱な)log4jライブラリを許可しない(大規模な)企業はすでにかなりの数あります。 log4jの適切なバージョンがないと、ライブラリが会社のデバイスから自動的に削除されるため、cyberduckは機能しなくなります。
#12706を開きました。
最も参考になるコメント
#12706を開きました。