Aller au contenu principal

Recherche

Vulnérabilités de logiciel

      CVE-2018-1285 - log4net dans ETS6

      Vassilios Lourdas
      • Mise à jour

      Pourquoi mon outil de sécurité indique-t-il que log4net.dll est périmé dans ETS6 ?

      ETS contient deux technologies de conversion différentes afin de maintenir la compatibilité avec les projets créés dans toutes les versions précédentes d'ETS :

      • Convertisseur hérité (pour les projets ETS1-ETS3)
        Utilise log4net v2.0.8 et n'est conservé que pour ouvrir et convertir de très vieux projets.

      • Convertisseur moderne (CVnext) (pour toutes les données de projet actuelles, à partir de XML 1.4)
        Utilise log4net v2.0.12 et est activement maintenu.

      Comme les deux convertisseurs sont nécessaires, les deux versions de log4net sont installées dans des dossiers distincts, par exemple :

      • C:\Program Files (x86)\ETS5\CV\5.6.241.33672\log4net.dll

      • C:\Program Files (x86)\ETS6\CV\5.6.241.33672\log4net.dll

      L'ETS6 est-il affecté par CVE-2018-1285 ?

      Non. ETS6 n'est pas affecté par CVE-2018-1285.

      Le CVE décrit une vulnérabilité qui permet des attaques basées sur XXE dans les applications qui acceptent des fichiers de configuration log4net contrôlés par l'attaquant. ETS n'accepte aucun fichier de configuration log4net externe ou contrôlé par l'utilisateur. La configuration de log4net utilisée par ETS est interne et statique. Par conséquent, le scénario d'attaque requis par CVE-2018-1285 ne s'applique pas à ETS.

      Puis-je supprimer l'ancien fichier log4net.dll (v2.0.8) ?

      Non, vous ne devez pas supprimer l'ancien fichier log4net.dll.

      Le fichier log4net v2.0.8 est nécessaire au convertisseur pour ouvrir et convertir les anciens projets ETS (ETS1-ETS3). Si vous supprimez ce fichier, il se peut que les anciens projets ne s'ouvrent plus ou ne se convertissent plus correctement.

      Pourquoi les deux fichiers log4net sont-ils toujours présents après la mise à jour vers la dernière version ETS6 ?

      Ce comportement est intentionnel. La mise à jour ne supprime pas l'ancien convertisseur ou ses bibliothèques, car de nombreux utilisateurs ont encore besoin de travailler avec d'anciens projets ETS. Les deux convertisseurs doivent rester disponibles afin que ETS puisse traiter de manière fiable des projets de toutes les générations.

      Résumé

      • log4net v2.0.8 - utilisé uniquement par l'ancien convertisseur pour les très anciens projets ETS.

      • log4net v2.0.12 - utilisé par le convertisseur moderne (CVnext) pour toutes les données actuelles du projet.

      • ETS6 n'est pas vulnérable à CVE-2018-1285, car il ne charge pas les fichiers de configuration de log4net contrôlés par un attaquant.

      • Ne supprimez pas les anciens fichiers log4net.dll, car ils sont nécessaires à la compatibilité ascendante.

      Cet article vous a-t-il été utile ?
      Utilisateurs qui ont trouvé cela utile : 1 sur 1
      Retour en haut

      Articles associés

      Ce n’est pas ce que vous cherchez ?
      Envoyer une demande Communauté