Przejdź do głównej zawartości

Szukaj

Luki w oprogramowaniu

      CVE-2018-1285 - log4net w ETS6

      Vassilios Lourdas
      • Zaktualizowano

      Dlaczego moje narzędzie bezpieczeństwa zgłasza nieaktualny plik log4net.dll w systemie ETS6?

      ETS zawiera dwie różne technologie konwerterów, aby zachować kompatybilność z projektami utworzonymi we wszystkich wcześniejszych wersjach ETS:

      • Starszy konwerter (dla projektów z ETS1–ETS3)
        Używa log4net w wersji 2.0.8 i jest zachowany wyłącznie do otwierania i konwertowania bardzo starych projektów.

      • Nowoczesny konwerter (CVnext) (dla wszystkich aktualnych danych projektu, począwszy od XML 1.4)
        Używa log4net v2.0.12 i jest aktywnie utrzymywany.

      Ponieważ oba konwertery są wymagane, obie wersje log4net są zainstalowane w oddzielnych folderach, na przykład:

      • C:\Program Files (x86)\ETS5\CV\5.6.241.33672\log4net.dll

      • C:\Program Files (x86)\ETS6\CV\5.6.241.33672\log4net.dll

      Czy ETS6 jest podatny na CVE-2018-1285?

      ID ETS6 nie jest podatny na CVE-2018-1285.

      CVE opisuje podatność, która umożliwia ataki typu XXE w aplikacjach akceptujących pliki konfiguracyjne log4net kontrolowane przez atakującego. ETS nie akceptuje żadnych zewnętrznych lub kontrolowanych przez użytkownika plików konfiguracyjnych log4net. Konfiguracja log4net używana przez ETS jest wewnętrzna i statyczna. Dlatego scenariusz ataku opisany w CVE-2018-1285 nie ma zastosowania do ETS.

      Czy mogę usunąć stary plik log4net.dll (v2.0.8)?

      Nie, nie należy usuwać przestarzałego pliku log4net.dll.

      Plik log4net w wersji 2.0.8 jest wymagany przez starszy konwerter do otwierania i konwertowania starych projektów ETS (ETS1–ETS3). Jeśli usuniesz ten plik, starsze projekty mogą już nie otwierać się ani nie konwertować poprawnie.

      Dlaczego oba pliki log4net są nadal obecne po aktualizacji do najnowszej wersji ETS6?

      To zachowanie jest zamierzone. Aktualizacja nie usuwa starszego konwertera ani jego bibliotek, ponieważ wielu użytkowników nadal musi pracować ze starszymi projektami ETS. Oba konwertery muszą pozostać dostępne, aby ETS mogło niezawodnie obsługiwać projekty ze wszystkich generacji.

      Podsumowanie

      • log4net v2.0.8 - używany tylko przez starszy konwerter dla bardzo starych projektów ETS.

      • log4net v2.0.12 - używany przez nowoczesny konwerter (CVnext) dla wszystkich aktualnych danych projektu.

      • ETS6 nie jest podatne na CVE-2018-1285, ponieważ nie ładuje plików konfiguracyjnych log4net kontrolowanych przez atakującego.

      • Nie usuwaj starszych plików log4net.dll, ponieważ są one potrzebne dla zachowania kompatybilności wstecznej.

      Czy ten artykuł był pomocny?
      Liczba użytkowników, którzy uważają ten artykuł za przydatny: 1 z 1
      Wróć do początku

      Powiązane artykuły

      Nie udało Ci się znaleźć poszukiwanych informacji?
      Wyślij zgłoszenie Społeczność