Cyberduck: CVE-2021-44228

CD는 다른 보안 문제가 있는 정말 오래된 버전( 1.2.17 ) https://github.com/iterate-ch/cyberduck/blob/e4c2dfe5c1e5623a5bfc484ae3f4ae58a1e929f1/pom.xml#L198 com/cve/CVE-2019-17571/

말했듯이 우리는 Apache Log4j 2에 대한 종속성이 없습니다. 또한 클라이언트 측 데스크탑 애플리케이션으로서 관련성이 없어 보입니다.

@dkocher 이것은 이전에 어디에서 논의되었습니까? 검색했지만 찾지 못했습니다.
CD는 2가 아닌 log4J 1에 의존하지만 1도 영향을 받는 것 같습니다. https://twitter.com/nluedtke1/status/1469435658389561345
클라이언트 측 앱일지라도 기록하고 실행하는 $ 이스케이프 파일이 있는 서버에 연결할 수 있습니다.

@dkocher log4j가 pom.xml에 나타납니다. 그래서 무언가가 그것을 사용하고 있는 것 같습니까?

나는 또한 그것에 대한 구성 파일을 봅니다 - https://github.com/iterate-ch/cyberduck/blob/fa0aa0d5d7b07ec09a4c328b2c0cf9a56bf01c4d/core/src/main/resources/log4j.xml

귀하의 코드에 대한 참조뿐만 아니라 https://github.com/iterate-ch/cyberduck/blob/745598c7f84e48b21d7b7b6679db926d5d6e98e4/core/src/main/java/ch/cyberduck/core/logging/LoggerPrintStream.java

결국 Log4j 1.x에서 멀리 이동/업그레이드하는 것이 합리적이지만 이 종속성 업그레이드 에 즉각적인 긴급성은 없습니다. 내 이해에 따르면 이 사용법은 명시적으로 구성해야 하므로 CVE-2019-17571 이 우리에게 영향을 미칠 것이라고 생각하지 않습니다.

CVE-2019-17571은 log4j 버전 >= 1.2, <= 1.2.27과 관련이 있습니다. Cyberduck 패키지에서 log4j-1.2.17을 찾았습니다. log4j 버전이 영향을 받는데도 Cyberduck에 영향을 미치지 않는 이유는 무엇입니까?

그 취약점은 log4j SocketServer에만 영향을 미치기 때문에 원격 클라이언트에서 중앙 집중식으로 로그하는 데 사용하면 임의의 코드를 실행할 수 있습니다. Cyberduck은 중앙 로깅 대상을 제공하지 않으므로 영향을 받지 않습니다.

로그 데이터에 대해 신뢰할 수 없는 네트워크 트래픽을 수신할 때

log4j 1이 지원되지 않기 때문에 취약성은 추적되지 않으며 우리는 그것이 안전하지 않다고 가정해야 합니다.

log4j 1이 지원되지 않기 때문에 취약성은 추적되지 않으며 우리는 그것이 안전하지 않다고 가정해야 합니다.

Log4j 1.x에는 CVE-2021-44228 을 유발한 JNDI 기능이 없습니다.

그러나 문서화되지 않은 다른 문제가 있을 수 있습니다.

그러나 문서화되지 않은 다른 문제가 있을 수 있습니다.

모든 소프트웨어와 마찬가지로.

log4j 유지 관리자는 지원되는 버전에 대한 문제만 문서화하고 수정합니다. log4j 1을 사용하는 것은 Windows XP를 사용하는 것과 같습니다. 공격을 받을 수 있는 방법조차 모릅니다.

직원 랩톱에서 오래된 (취약한) log4j 라이브러리를 허용하지 않는 (대규모) 회사가 이미 많이 있습니다. 적절한 버전의 log4j가 없으면 라이브러리가 회사 장치에서 자동으로 제거되기 때문에 사이버덕이 더 이상 작동하지 않습니다.

직원 랩톱에서 오래된 (취약한) log4j 라이브러리를 허용하지 않는 (대규모) 회사가 이미 많이 있습니다. 적절한 버전의 log4j가 없으면 라이브러리가 회사 장치에서 자동으로 제거되기 때문에 사이버덕이 더 이상 작동하지 않습니다.

#12706을 열었습니다.