Saltar al contenido principal

Búsqueda

Vulnerabilidades del software

      CVE-2018-1285 - log4net en ETS6

      Vassilios Lourdas
      • Actualización

      ¿Por qué mi herramienta de seguridad informa de que log4net.dll está obsoleto en ETS6?

      ETS contiene dos tecnologías de conversión diferentes para mantener la compatibilidad con los proyectos creados en todas las versiones anteriores de ETS:

      • Conversor heredado (para proyectos de ETS1 a ETS3)
        Utiliza log4net v2.0.8 y se mantiene sólo para abrir y convertir proyectos muy antiguos.

      • Conversor moderno (CVnext) (para todos los datos de proyectos actuales, a partir de XML 1.4)
        Utiliza log4net v2.0.12 y se mantiene activamente.

      Dado que se necesitan ambos convertidores, las dos versiones de log4net se instalan, por ejemplo, en carpetas separadas:

      • C:\Archivos de programa (x86)\ETS5\CV\5.6.241.33672\log4net.dll

      • C:\Archivos de programa (x86)\ETS6\CV\5.6.241.33672\log4net.dll

      ¿Está ETS6 afectado por CVE-2018-1285?

      No. ETS6 no está afectado por CVE-2018-1285.

      La CVE describe una vulnerabilidad que permite ataques basados en XXE en aplicaciones que aceptan archivos de configuración log4net controlados por atacantes. ETS no acepta archivos de configuración log4net externos o controlados por el usuario. La configuración log4net utilizada por ETS es interna y estática. Por lo tanto, el escenario de ataque requerido por CVE-2018-1285 no aplica a ETS.

      ¿Puedo eliminar el antiguo log4net.dll (v2.0.8)?

      No, no debe eliminar el archivo log4net.dll heredado.

      El archivo log4net v2.0.8 es necesario para que el conversor heredado pueda abrir y convertir proyectos ETS antiguos (ETS1-ETS3). Si elimina este archivo, es posible que los proyectos antiguos ya no se abran o conviertan correctamente.

      ¿Por qué siguen presentes ambos archivos log4net después de actualizar a la última versión ETS6?

      Este comportamiento es intencionado. La actualización no elimina el conversor heredado ni sus librerías, ya que muchos usuarios siguen necesitando trabajar con proyectos ETS antiguos. Ambos convertidores deben seguir estando disponibles para que ETS pueda gestionar con fiabilidad los proyectos de todas las generaciones.

      Resumen

      • log4net v2.0.8 - utilizado únicamente por el convertidor heredado para proyectos ETS muy antiguos.

      • log4net v2.0.12 - utilizado por el convertidor moderno (CVnext) para todos los datos actuales del proyecto.

      • ETS6 no es vulnerable a CVE-2018-1285, porque no carga archivos de configuración de log4net controlados por atacantes.

      • No elimine los archivos log4net.dll más antiguos, ya que son necesarios para la compatibilidad con versiones anteriores.

      Artículos relacionados

      ¿No encontró lo que buscaba?
      Enviar una solicitud Comunidad