https://twitter.com/nluedtke1/status/1469435658389561345
Parece que algumas configurações do log4j 1.x são vulneráveis - o cyberduck está usando uma delas?
O CD parece estar usando uma versão muito antiga (1.2.17) https://github.com/iterate-ch/cyberduck/blob/e4c2dfe5c1e5623a5bfc484ae3f4ae58a1e929f1/pom.xml#L198 que tem outros problemas de segurança https://www.cvedetails. com/cve/CVE-2019-17571/
Como dito, não temos uma dependência para o Apache Log4j 2. Também como um aplicativo de desktop do lado do cliente, não parece relevante.
@dkocher Onde isso foi discutido antes? Procurei mas não encontrei.
CD depende de log4J 1, não 2, mas 1 parece também ser afetado https://twitter.com/nluedtke1/status/1469435658389561345
Mesmo como um aplicativo do lado do cliente, talvez você se conecte a um servidor que tenha arquivos com $ escapes que você registra e executa.
@dkocher log4j aparece no seu pom.xml - então algo parece estar usando?
Também vejo um arquivo de configuração para ele - https://github.com/iterate-ch/cyberduck/blob/fa0aa0d5d7b07ec09a4c328b2c0cf9a56bf01c4d/core/src/main/resources/log4j.xml
Assim como referências a ele em seu código - https://github.com/iterate-ch/cyberduck/blob/745598c7f84e48b21d7b7b6679db926d5d6e98e4/core/src/main/java/ch/cyberduck/core/logging/LoggerPrintStream.java#L19
Faz sentido eventualmente se afastar/atualizar do Log4j 1.x, mas não vejo urgência imediata nesta atualização de dependência . Não vejo que CVE-2019-17571 nos afetaria, pois, pelo que entendi, esse uso precisaria ser configurado explicitamente.
O CVE-2019-17571 está relacionado às versões log4j >= 1.2, <= 1.2.27. No pacote Cyberduck, encontro log4j-1.2.17. Por que isso não afeta o Cyberduck, mesmo que a versão do log4j seja afetada?
Porque essa vulnerabilidade afeta apenas o log4j SocketServer que, quando usado para registrar centralmente de clientes remotos, pode executar código arbitrário. O Cyberduck não está fornecendo um destino de registro central, portanto, não é afetado.
ao ouvir tráfego de rede não confiável para dados de log
Como o log4j 1 não tem suporte, as vulnerabilidades não são rastreadas e temos que assumir que não é seguro.
Como o log4j 1 não tem suporte, as vulnerabilidades não são rastreadas e temos que assumir que não é seguro.
Log4j 1.x não apresenta a funcionalidade JNDI que causou o CVE-2021-44228
Mas pode ter outros problemas não documentados.
Mas pode ter outros problemas não documentados.
Como qualquer software.
Os mantenedores do log4j apenas documentam e corrigem problemas nas versões suportadas. Usar o log4j 1 é como usar o Windows XP: você nem sabe como pode ser atacado.
Já existem várias (grandes) empresas que não permitem nenhuma biblioteca log4j antiga (vulnerável) nos laptops dos funcionários. Sem uma versão adequada do log4j, o cyberduck não funciona mais, pois a biblioteca é removida automaticamente dos dispositivos da empresa.
Já existem várias (grandes) empresas que não permitem nenhuma biblioteca log4j antiga (vulnerável) nos laptops dos funcionários. Sem uma versão adequada do log4j, o cyberduck não funciona mais, pois a biblioteca é removida automaticamente dos dispositivos da empresa.
Abri o nº 12706.
Comentários muito úteis
Abri o nº 12706.