Перейти к основному контенту

Поиск

Уязвимости программного обеспечения

      CVE-2018-1285 - log4net в ETS6

      Vassilios Lourdas
      • Обновлено

      Почему мой инструмент безопасности сообщает об устаревшей log4net.dll в ETS6?

      ETS содержит две различные технологии конвертирования, чтобы сохранить совместимость с проектами, созданными во всех предыдущих версиях ETS:

      • Конвертер Legacy (для проектов из ETS1-ETS3)
        Использует log4net v2.0.8 и сохраняется только для открытия и конвертирования очень старых проектов.

      • Современный конвертер (CVnext) (для всех текущих данных проекта, начиная с XML 1.4)
        Использует log4net v2.0.12 и активно поддерживается.

      Поскольку требуются оба конвертера, обе версии log4net устанавливаются, например, в отдельные папки:

      • C:\Program Files (x86)\ETS5\CV\5.6.241.33672\log4net.dll

      • C:\Program Files (x86)\ETS6\CV\5.6.241.33672\log4net.dll

      Затронут ли ETS6 вирусом CVE-2018-1285?

      ИДЕНТИФИКАТОР ETS6 не подвержен влиянию CVE-2018-1285.

      CVE описывает уязвимость, позволяющую осуществлять атаки на основе XXE в приложениях, которые принимают управляемые злоумышленником конфигурационные файлы log4net. ETS не принимает никаких внешних или контролируемых пользователем файлов конфигурации log4net. Конфигурация log4net, используемая ETS, является внутренней и статичной. Поэтому сценарий атаки, требуемый CVE-2018-1285, не применим к ETS.

      Могу ли я удалить старый log4net.dll (v2.0.8)?

      Нет, Вам не следует удалять унаследованную log4net.dll.

      Файл log4net v2.0.8 необходим конвертеру для открытия и преобразования старых проектов ETS (ETS1-ETS3). Если Вы удалите этот файл, старые проекты могут больше не открываться или конвертироваться неправильно.

      Почему оба файла log4net все еще присутствуют после обновления до последней версии ETS6?

      Такое поведение является преднамеренным. Обновление не удаляет устаревший конвертер или его библиотеки, поскольку многим пользователям все еще нужно работать со старыми проектами ETS. Оба преобразователя должны оставаться доступными, чтобы компания ETS могла надежно работать с проектами всех поколений.

      Резюме

      • log4net v2.0.8 - используется только устаревшим конвертером для очень старых проектов ETS.

      • log4net v2.0.12 - используется современным конвертером (CVnext) для всех текущих данных проекта.

      • ETS6 не уязвим для CVE-2018-1285, поскольку он не загружает контролируемые злоумышленниками конфигурационные файлы log4net.

      • Не удаляйте старые файлы log4net.dll, поскольку они необходимы для обратной совместимости.

      Была ли эта статья полезной?
      Пользователи, считающие этот материал полезным: 1 из 1
      В начало

      Похожие статьи

      Не нашли то, что искали?
      Отправить запрос Сообщество