初步分析cve - 2021 - 44228
一个漏洞在Apache Log4j2最近宣布。了解更多关于这个漏洞,参观NIST国家漏洞数据库。
透明度,Genuitec在我们的服务器基础设施进行了审计,对于我们自己的内部基础设施以及我们的产品,包括服务器组件,包括CodeTogether和安全交付中心。在所有情况下,我们没有使用log4j2在我们的服务器上。
我们的方法来确认这涉及手动审查组件和依赖项,以及自动扫描包内使用工具是用来搜索,不仅仅暴露在本地文件系统级别。
对于我们的桌面软件,在我们CodeTogether插件,我们不为任何目的使用log4j2也不包含在我们的软件中。MyEclipse、没有使用log4j2 MyEclipse的所有组件的标准操作。看到更新下面澄清单一log4j2和为什么它不构成风险升高。透明度,有基于eclipse的ide插件做的选择取决于log4j2和可以安装MyEclipse CodeTogether一起通过更新站点或。
为更多的细节在Eclipse IDE的漏洞:
https://wiki.eclipse.org/Eclipse_and_log4j2_vulnerability_ (cve - 2021 - 44228)
更新12/17/21
MyEclipse
分析期间,有一个存在log4j2 MyEclipse嵌入式插件,专门用作客户端OpenShift的一部分。这个客户是作为传递依赖的一部分,虽然它并不特别使用log4j2 MyEclipse正常使用。这个log4shell实例只使用如果你显式地打开跟踪选项org.jboss.tools.openshift。客户端插件和也使用OpenShift客户端。此外,因为它不是记录来自不受信任的源的数据,似乎没有发现漏洞,即使你曾明确打开日志记录。
如果你担心,我们建议以下运行工具可以删除冒犯JndiLookup类而不影响任何功能。
java jar logpresso-log4j2-scan-2.1.2。jar——修复”(me-install-dir)”
CodeTogether容器对于本地安装
jvb Log4j2存在。jar,部分Jitsi Videobridge——它在运行时不使用。
评论关于Jitsi和cve_2021 - 44228可以在这里找到:
https://community.jitsi.org/t/cve - 2021 - 44228 -和- jitsi components/108844
具体地说,我们不支持callstats由于种种原因,一个是,因为它将使行为以外的A / V调用你的网络。
从假阳性扫描为了避免混淆,我们将升级组件JVB正式在下CodeTogether 5.1版本,预计在1月的开始。