Overslaan en naar hoofdcontent gaan

Zoeken

Kwetsbaarheden in software

      CVE-2018-1285 - log4net in ETS6

      Vassilios Lourdas
      • Bijgewerkt

      Waarom meldt mijn beveiligingsprogramma een verouderde log4net.dll in ETS6?

      ETS bevat twee verschillende convertertechnologieën om compatibiliteit te behouden met projecten die in alle vorige ETS-versies gemaakt zijn:

      • Legacy converter (voor projecten uit ETS1-ETS3)
        Gebruikt log4net v2.0.8 en wordt alleen bewaard om zeer oude projecten te openen en te converteren.

      • Moderne converter (CVnext) (voor alle huidige projectgegevens, vanaf XML 1.4)
        Gebruikt log4net v2.0.12 en wordt actief onderhouden.

      Omdat beide converters nodig zijn, worden bijvoorbeeld beide log4net-versies in aparte mappen geïnstalleerd:

      • C:\Programmabestanden (x86)\log4net.dll

      • C:\Programmabestanden (x86)\log4net.dll

      Wordt ETS6 beïnvloed door CVE-2018-1285?

      Neen. ETS6 wordt niet beïnvloed door CVE-2018-1285.

      De CVE beschrijft een kwetsbaarheid die op XXE gebaseerde aanvallen mogelijk maakt in toepassingen die door aanvallers beheerde log4net-configuratiebestanden accepteren. ETS accepteert geen externe of door de gebruiker gecontroleerde log4net configuratiebestanden. De log4net-configuratie die door ETS wordt gebruikt, is intern en statisch. Daarom is het aanvalsscenario van CVE-2018-1285 niet van toepassing op ETS.

      Kan ik de oude log4net.dll (v2.0.8) verwijderen?

      Nee, u moet de legacy log4net.dll niet verwijderen.

      Het log4net v2.0.8 bestand is nodig voor de legacy converter om oude ETS-projecten (ETS1-ETS3) te openen en te converteren. Als u dit bestand verwijdert, is het mogelijk dat oudere projecten niet meer correct geopend of geconverteerd worden.

      Waarom zijn beide log4net-bestanden nog steeds aanwezig na het bijwerken naar de nieuwste ETS6?

      Dit gedrag is opzettelijk. De update verwijdert de legacy converter of de bijbehorende bibliotheken niet, omdat veel gebruikers nog steeds met oudere ETS-projecten moeten werken. Beide converters moeten beschikbaar blijven, zodat ETS projecten van alle generaties betrouwbaar kan afhandelen.

      Samenvatting

      • log4net v2.0.8 - alleen gebruikt door de oudere converter voor zeer oude ETS-projecten.

      • log4net v2.0.12 - gebruikt door de moderne converter (CVnext) voor alle huidige projectgegevens.

      • ETS6 is niet kwetsbaar voor CVE-2018-1285, omdat het geen door aanvallers gecontroleerde log4net-configuratiebestanden laadt.

      • Verwijder de oudere log4net.dll bestanden niet, omdat deze nodig zijn voor achterwaartse compatibiliteit.

      Verwante artikelen

      Niet gevonden wat u zocht?
      Een aanvraag indienen Community