Hoppa till huvudinnehållet

Sök

Sårbarheter i programvara

      CVE-2018-1285 - log4net i ETS6

      Vassilios Lourdas
      • Uppdaterad

      Varför rapporterar mitt säkerhetsverktyg en föråldrad log4net.dll i ETS6?

      ETS innehåller två olika konverteringstekniker för att bibehålla kompatibiliteten med projekt som skapats i alla tidigare ETS-versioner:

      • Legacy converter (för projekt från ETS1-ETS3)
        Använder log4net v2.0.8 och sparas endast för att öppna och konvertera mycket gamla projekt.

      • Modern konverterare (CVnext) (för alla aktuella projektdata, från XML 1.4)
        Använder log4net v2.0.12 och underhålls aktivt.

      Eftersom båda konverteringsprogrammen krävs installeras båda log4net-versionerna i separata mappar, t.ex:

      • C:\Program Files (x86)\ETS5\CV\5.6.241.33672\log4net.dll

      • C:\Program Files (x86)\ETS6\CV\5.6.241.33672\log4net.dll

      Påverkas ETS6 av CVE-2018-1285?

      Nr. ETS6 påverkas inte av CVE-2018-1285.

      CVE:n beskriver en sårbarhet som möjliggör XXE-baserade attacker i applikationer som accepterar angriparstyrda log4net-konfigurationsfiler. ETS accepterar inte några externa eller användarkontrollerade log4net-konfigurationsfiler. Den log4net-konfiguration som används av ETS är intern och statisk. Därför är det angreppsscenario som krävs enligt CVE-2018-1285 inte tillämpligt på ETS.

      Kan jag ta bort den gamla log4net.dll (v2.0.8)?

      Nej, du bör inte ta bort den äldre log4net.dll.

      Filen log4net v2.0.8 krävs av legacy-konverteraren för att öppna och konvertera gamla ETS-projekt (ETS1-ETS3). Om du tar bort den här filen kan det hända att äldre projekt inte längre öppnas eller konverteras korrekt.

      Varför finns båda log4net-filerna fortfarande kvar efter uppdatering till den senaste ETS6-versionen?

      Detta beteende är avsiktligt. Uppdateringen tar inte bort legacy-konverteraren eller dess bibliotek, eftersom många användare fortfarande behöver arbeta med äldre ETS-projekt. Båda omriktarna måste vara tillgängliga så att ETS på ett tillförlitligt sätt kan hantera projekt från alla generationer.

      Sammanfattning

      • log4net v2.0.8 - används endast av den äldre konverteraren för mycket gamla ETS-projekt.

      • log4net v2.0.12 - används av den moderna konverteraren (CVnext) för all aktuell projektdata.

      • ETS6 är inte sårbart för CVE-2018-1285, eftersom det inte läser in konfigurationsfiler för log4net som kontrolleras av angripare.

      • Ta inte bort de äldre log4net.dll-filerna, eftersom de krävs för bakåtkompatibilitet.

      Relaterade artiklar

      Hittade du inte vad du sökte?
      Skicka en förfrågan Community