Cyberduck: CVE-2021-44228

CD, похоже, использует действительно старую версию (1.2.17) https://github.com/iterate-ch/cyberduck/blob/e4c2dfe5c1e5623a5bfc484ae3f4ae58a1e929f1/pom.xml#L198 , которая имеет другие проблемы с безопасностью https://www.cvedetails. com/cve/CVE-2019-17571/

Как уже говорилось, у нас нет зависимости от Apache Log4j 2. Кроме того, в качестве настольного приложения на стороне клиента это не кажется актуальным.

@dkocher Где это обсуждалось раньше? Я искал, но не нашел.
CD зависит от log4J 1, а не 2, но 1, похоже, тоже затронут https://twitter.com/nluedtke1/status/1469435658389561345
Даже в качестве клиентского приложения, возможно, вы подключаетесь к серверу, на котором есть файлы с экранированием $, которые вы регистрируете и запускаете.

@dkocher log4j появляется в вашем pom.xml - значит, что-то его использует?

Я также вижу файл конфигурации для него - https://github.com/iterate-ch/cyberduck/blob/fa0aa0d5d7b07ec09a4c328b2c0cf9a56bf01c4d/core/src/main/resources/log4j.xml

А также ссылки на него в вашем коде - https://github.com/iterate-ch/cyberduck/blob/745598c7f84e48b21d7b7b6679db926d5d6e98e4/core/src/main/java/ch/cyberduck/core/logging/LoggerPrintStream.java#L19

В конечном итоге имеет смысл отказаться от Log4j 1.x или обновить его, но я не вижу неотложной срочности в этом обновлении зависимостей . Я не вижу, чтобы CVE-2019-17571 повлияла на нас, поскольку, насколько я понимаю, это использование должно быть явно настроено.

CVE-2019-17571 относится к версиям log4j >= 1.2, <= 1.2.27. В пакете Cyberduck я нахожу log4j-1.2.17. Почему это не влияет на Cyberduck, хотя это влияет на версию log4j?

Потому что эта уязвимость затрагивает только сервер log4j SocketServer, который при централизованном ведении журналов с удаленных клиентов может выполнять произвольный код. Cyberduck не предоставляет центральную цель ведения журнала, поэтому это не затрагивается.

при прослушивании ненадежного сетевого трафика для данных журнала

Поскольку log4j 1 больше не поддерживается, уязвимости не отслеживаются, и мы должны предположить, что это небезопасно.

Поскольку log4j 1 больше не поддерживается, уязвимости не отслеживаются, и мы должны предположить, что это небезопасно.

Log4j 1.x не поддерживает функции JNDI, которые вызвали CVE-2021-44228.

Но у него могут быть и другие недокументированные проблемы.

Но у него могут быть и другие недокументированные проблемы.

Как и любой софт.

Специалисты по поддержке log4j документируют и устраняют проблемы только в поддерживаемых версиях. Использование log4j 1 похоже на использование Windows XP: вы даже не знаете, как вас могут атаковать.

Уже существует довольно много (крупных) компаний, которые не разрешают использование каких-либо старых (уязвимых) библиотек log4j на ноутбуках сотрудников. Без правильной версии log4j Cyberduck больше не работает, так как библиотека автоматически удаляется с устройств компании.

Уже существует довольно много (крупных) компаний, которые не разрешают использование каких-либо старых (уязвимых) библиотек log4j на ноутбуках сотрудников. Без правильной версии log4j Cyberduck больше не работает, так как библиотека автоматически удаляется с устройств компании.

Я открыл #12706.