Cyberduck: CVE-2021-44228

O CD parece estar usando uma versão muito antiga (1.2.17) https://github.com/iterate-ch/cyberduck/blob/e4c2dfe5c1e5623a5bfc484ae3f4ae58a1e929f1/pom.xml#L198 que tem outros problemas de segurança https://www.cvedetails. com/cve/CVE-2019-17571/

Como dito, não temos uma dependência para o Apache Log4j 2. Também como um aplicativo de desktop do lado do cliente, não parece relevante.

@dkocher Onde isso foi discutido antes? Procurei mas não encontrei.
CD depende de log4J 1, não 2, mas 1 parece também ser afetado https://twitter.com/nluedtke1/status/1469435658389561345
Mesmo como um aplicativo do lado do cliente, talvez você se conecte a um servidor que tenha arquivos com $ escapes que você registra e executa.

@dkocher log4j aparece no seu pom.xml - então algo parece estar usando?

Também vejo um arquivo de configuração para ele - https://github.com/iterate-ch/cyberduck/blob/fa0aa0d5d7b07ec09a4c328b2c0cf9a56bf01c4d/core/src/main/resources/log4j.xml

Assim como referências a ele em seu código - https://github.com/iterate-ch/cyberduck/blob/745598c7f84e48b21d7b7b6679db926d5d6e98e4/core/src/main/java/ch/cyberduck/core/logging/LoggerPrintStream.java#L19

Faz sentido eventualmente se afastar/atualizar do Log4j 1.x, mas não vejo urgência imediata nesta atualização de dependência . Não vejo que CVE-2019-17571 nos afetaria, pois, pelo que entendi, esse uso precisaria ser configurado explicitamente.

O CVE-2019-17571 está relacionado às versões log4j >= 1.2, <= 1.2.27. No pacote Cyberduck, encontro log4j-1.2.17. Por que isso não afeta o Cyberduck, mesmo que a versão do log4j seja afetada?

Porque essa vulnerabilidade afeta apenas o log4j SocketServer que, quando usado para registrar centralmente de clientes remotos, pode executar código arbitrário. O Cyberduck não está fornecendo um destino de registro central, portanto, não é afetado.

ao ouvir tráfego de rede não confiável para dados de log

Como o log4j 1 não tem suporte, as vulnerabilidades não são rastreadas e temos que assumir que não é seguro.

Como o log4j 1 não tem suporte, as vulnerabilidades não são rastreadas e temos que assumir que não é seguro.

Log4j 1.x não apresenta a funcionalidade JNDI que causou o CVE-2021-44228

Mas pode ter outros problemas não documentados.

Mas pode ter outros problemas não documentados.

Como qualquer software.

Os mantenedores do log4j apenas documentam e corrigem problemas nas versões suportadas. Usar o log4j 1 é como usar o Windows XP: você nem sabe como pode ser atacado.

Já existem várias (grandes) empresas que não permitem nenhuma biblioteca log4j antiga (vulnerável) nos laptops dos funcionários. Sem uma versão adequada do log4j, o cyberduck não funciona mais, pois a biblioteca é removida automaticamente dos dispositivos da empresa.

Já existem várias (grandes) empresas que não permitem nenhuma biblioteca log4j antiga (vulnerável) nos laptops dos funcionários. Sem uma versão adequada do log4j, o cyberduck não funciona mais, pois a biblioteca é removida automaticamente dos dispositivos da empresa.

Abri o nº 12706.