Zum Hauptinhalt gehen

Suche

Software-Schwachstellen

      CVE-2018-1285 - log4net in der ETS6

      Vassilios Lourdas
      • Aktualisiert

      Warum meldet mein Sicherheitstool eine veraltete log4net.dll in der ETS6?

      Die ETS enthält zwei verschiedene Konvertertechnologien, um die Kompatibilität mit Projekten, die in allen früheren ETS-Versionen erstellt wurden, zu gewährleisten:

      • Legacy-Konverter (für Projekte aus ETS1-ETS3)
        Verwendet log4net v2.0.8 und ist nur zum Öffnen und Konvertieren sehr alter Projekte gedacht.

      • Moderner Konverter (CVnext) (für alle aktuellen Projektdaten, ab XML 1.4)
        Verwendet log4net v2.0.12 und wird aktiv gepflegt.

      Da beide Konverter benötigt werden, werden z.B. beide log4net-Versionen in getrennten Ordnern installiert:

      • C:\Program Files (x86)\ETS5\CV\5.6.241.33672\log4net.dll

      • C:\Program Files (x86)\ETS6\CV\5.6.241.33672\log4net.dll

      Ist die ETS6 von CVE-2018-1285 betroffen?

      Nr. Die ETS6 ist nicht von CVE-2018-1285 betroffen.

      Die CVE beschreibt eine Sicherheitslücke, die XXE-basierte Angriffe in Anwendungen ermöglicht, die vom Angreifer kontrollierte log4net-Konfigurationsdateien akzeptieren. Die ETS akzeptiert keine externen oder benutzergesteuerten log4net-Konfigurationsdateien. Die von der ETS verwendete log4net-Konfiguration ist intern und statisch. Daher trifft das von CVE-2018-1285 geforderte Angriffsszenario nicht auf ETS zu.

      Kann ich die alte log4net.dll (v2.0.8) löschen?

      Nein, Sie sollten die Legacy-Datei log4net.dll nicht löschen.

      Die log4net v2.0.8 Datei wird vom Legacy-Konverter benötigt, um alte ETS-Projekte (ETS1-ETS3) zu öffnen und zu konvertieren. Wenn Sie diese Datei löschen, werden ältere Projekte möglicherweise nicht mehr geöffnet oder korrekt konvertiert.

      Warum sind beide log4net-Dateien nach dem Update auf die neueste ETS6-Version noch vorhanden?

      Dieses Verhalten ist beabsichtigt. Das Update entfernt nicht den Legacy-Konverter oder seine Bibliotheken, da viele Benutzer noch mit älteren ETS-Projekten arbeiten müssen. Beide Konverter müssen verfügbar bleiben, damit ETS Projekte aus allen Generationen zuverlässig bearbeiten kann.

      Zusammenfassung

      • log4net v2.0.8 - wird nur von dem Legacy-Konverter für sehr alte ETS-Projekte verwendet.

      • log4net v2.0.12 - wird von dem modernen Konverter (CVnext) für alle aktuellen Projektdaten verwendet.

      • Die ETS6 ist nicht anfällig für CVE-2018-1285, da sie keine von Angreifern kontrollierten log4net-Konfigurationsdateien lädt.

      • Entfernen Sie die älteren log4net.dll-Dateien nicht, da sie für die Abwärtskompatibilität erforderlich sind.

      Verwandte Beiträge

      Sie haben nicht gefunden, wonach Sie suchten?
      Anfrage einreichen Community