Siirry pääsisältöön

Hae

Ohjelmistojen haavoittuvuudet

      CVE-2018-1285 - log4net ETS6:ssa

      Vassilios Lourdas
      • Päivitetty

      Miksi tietoturvatyökaluni ilmoittaa vanhentuneesta log4net.dll-tiedostosta ETS6:ssa?

      ETS sisältää kaksi erilaista muunnintekniikkaa, jotta yhteensopivuus kaikissa aiemmissa ETS-versioissa luotujen projektien kanssa säilyy:

      • Legacy-muunnin (ETS1-ETS3-projekteille)
        Käyttää log4net v2.0.8 -versiota ja sitä käytetään vain hyvin vanhojen projektien avaamiseen ja muuntamiseen.

      • Nykyaikainen muunnin (CVnext) (kaikille nykyisille projektitiedoille XML 1.4:stä alkaen)
        Käyttää log4net v2.0.12:ta ja sitä ylläpidetään aktiivisesti.

      Koska molemmat muuntimet tarvitaan, molemmat log4net-versiot asennetaan esimerkiksi erillisiin kansioihin:

      • C:\Program Files (x86)\ETS5\CV\5.6.241.33672\log4net.dll

      • C:\Program Files (x86)\ETS6\CV\5.6.241.33672\log4net.dll

      Vaikuttaako CVE-2018-1285 ETS6:een?

      Ei. CVE-2018-1285 ei vaikuta ETS6:een.

      CVE kuvaa haavoittuvuutta, joka mahdollistaa XXE-pohjaiset hyökkäykset sovelluksissa, jotka hyväksyvät hyökkääjän hallitsemat log4net-konfiguraatiotiedostot. ETS ei hyväksy ulkoisia tai käyttäjän hallitsemia log4net-konfiguraatiotiedostoja. ETS:n käyttämä log4net-konfiguraatio on sisäinen ja staattinen. Näin ollen CVE-2018-1285:n edellyttämä hyökkäysskenaario ei koske ETS:ää.

      Voinko poistaa vanhan log4net.dll:n (v2.0.8)?

      Ei, sinun ei pitäisi poistaa vanhaa log4net.dll-tiedostoa.

      Käytöstä poistunut muunnin tarvitsee log4net v2.0.8-tiedoston vanhojen ETS-projektien (ETS1-ETS3) avaamiseen ja muuntamiseen. Jos poistat tämän tiedoston, vanhemmat projektit eivät ehkä enää avaudu tai muunnu oikein.

      Miksi molemmat log4net-tiedostot ovat edelleen olemassa uusimpaan ETS6:een päivittämisen jälkeen?

      Tämä käyttäytyminen on tarkoituksellista. Päivitys ei poista vanhaa muunninta tai sen kirjastoja, koska monet käyttäjät tarvitsevat edelleen vanhoja ETS-projekteja. Molempien muuntimien on pysyttävä käytettävissä, jotta ETS voi käsitellä luotettavasti kaikkien sukupolvien hankkeita.

      Yhteenveto

      • log4net v2.0.8 - käytetään vain vanhassa muuntimessa hyvin vanhoja ETS-projekteja varten.

      • log4net v2.0.12 - nykyaikainen muunnin (CVnext) käyttää kaikkia nykyisiä projektitietoja.

      • ETS6 ei ole haavoittuvainen CVE-2018-1285:lle, koska se ei lataa hyökkääjän hallitsemia log4net-konfiguraatiotiedostoja.

      • Älä poista vanhempia log4net.dll-tiedostoja, sillä niitä tarvitaan taaksepäin yhteensopivuuden vuoksi.

      Aiheeseen liittyvät artikkelit

      Etkö löytänyt etsimääsi?
      Lähetä pyyntö Yhteisö