Μετάβαση στο κύριο περιεχόμενο

Αναζήτηση

Ευπάθειες λογισμικού

      CVE-2018-1285 - log4net στο ETS6

      Vassilios Lourdas
      • Ενημέρωση

      Γιατί το εργαλείο ασφαλείας μου αναφέρει ένα παρωχημένο log4net.dll στο ETS6;

      Το ETS περιέχει δύο διαφορετικές τεχνολογίες μετατροπέων, ώστε να διατηρείται η συμβατότητα με έργα που δημιουργήθηκαν σε όλες τις προηγούμενες εκδόσεις ETS:

      • Παλαιός μετατροπέας (για έργα από ETS1-ETS3)
        Χρησιμοποιεί το log4net v2.0.8 και διατηρείται μόνο για το άνοιγμα και τη μετατροπή πολύ παλαιών έργων.

      • Σύγχρονος μετατροπέας (CVnext) (για όλα τα τρέχοντα δεδομένα έργων, ξεκινώντας από XML 1.4)
        Χρησιμοποιεί το log4net v2.0.12 και συντηρείται ενεργά.

      Επειδή και οι δύο μετατροπείς απαιτούνται, και οι δύο εκδόσεις του log4net εγκαθίστανται σε ξεχωριστούς φακέλους, για παράδειγμα:

      • C:\Program Files (x86)\ETS5\CV\5.6.241.33672\log4net.dll

      • C:\Program Files (x86)\ETS6\CV\5.6.241.33672\log4net.dll

      Επηρεάζεται το ETS6 από το CVE-2018-1285;

      Όχι. Το ETS6 δεν επηρεάζεται από το CVE-2018-1285.

      Το συγκεκριμένο CVE περιγράφει μια ευπάθεια που επιτρέπει XXE-based επιθέσεις σε εφαρμογές που δέχονται αρχεία διαμόρφωσεις log4net ελεγχόμενα από τον επιτιθέμενο. Το ETS δεν δέχεται εξωτερικά ή ελεγχόμενα από τον χρήστη αρχεία ρυθμίσεων log4net. Η διαμόρφωση του log4net που χρησιμοποιείται από το ETS είναι εσωτερική και στατική. Επομένως, το απαραίτητο σενάριο επίθεσης του CVE-2018-1285 δεν εφαρμόζεται στο ETS.

      Μπορώ να διαγράψω το παλιό log4net.dll (v2.0.8);

      Όχι, δεν πρέπει να διαγράψετε το αρχείο log4net.dll.

      Το αρχείο log4net v2.0.8 απαιτείται από τον παλαιό μετατροπέα για το άνοιγμα και τη μετατροπή παλαιών έργων ETS (ETS1-ETS3). Εάν διαγράψετε αυτό το αρχείο, τα παλαιότερα έργα ενδέχεται να μην ανοίγουν ή να μην μετατρέπονται πλέον σωστά.

      Γιατί εξακολουθούν να υπάρχουν και τα δύο αρχεία log4net μετά την ενημέρωση στην τελευταία έκδοση ETS6;

      Αυτή η συμπεριφορά είναι σκόπιμη. Η ενημέρωση δεν καταργεί τον παλαιό μετατροπέα ή τις βιβλιοθήκες του, επειδή πολλοί χρήστες εξακολουθούν να χρειάζονται να εργάζονται με παλαιότερα έργα ETS. Και οι δύο μετατροπείς πρέπει να παραμείνουν διαθέσιμοι ώστε το ETS να μπορεί να χειρίζεται αξιόπιστα έργα όλων των γενεών.

      Σύνοψη

      • log4net v2.0.8 - χρησιμοποιείται μόνο από τον παλαιό μετατροπέα για πολύ παλιά έργα ETS.

      • log4net v2.0.12 - χρησιμοποιείται από τον σύγχρονο μετατροπέα (CVnext) για όλα τα τρέχοντα δεδομένα του έργου.

      • Το ETS6 δεν είναι ευάλωτο στο CVE-2018-1285, επειδή δεν φορτώνει ελεγχόμενα από επιτιθέμενους αρχεία ρυθμίσεων log4net.

      • Μην αφαιρέσετε τα παλαιότερα αρχεία log4net.dll, καθώς απαιτούνται για λόγους συμβατότητας προς τα πίσω.

      Σχετικά άρθρα

      Δεν βρήκατε αυτό που ψάχνατε;
      Υποβολή αιτήματος Κοινότητα