由于最近log4j的问题,我一直在检查我所有的代码等等。“日志文件”和“日志文件”以便在下找到“...\Microsoft Visual Studio \2019\专业版\公用7\IDE\公用扩展\Microsoft\SSIS\150\扩展\公用\JAR”因为我们也在开发SSIS包,所以我们有点依赖这个扩展。遗憾的是,我在log4j的上下文中找不到任何关于SSIS的东西。我也有点怀疑log4j的版本似乎是1.x,它的支持在2015年结束。是否有任何已知的修复程序/更新?
dffbzjpn1#
这不成问题。这些.jar文件可以通过什么方式被利用来触发权限提升或软件规避?事实上,Visual Studio使用的是旧的库,我一点也不吃惊。大公司习惯于依赖第三方库,然后他们通常被禁止在角落里多年。
编辑:
你的问题有点意思,我需要进一步挖掘。显然,这个0天has been around since March,所以它意味着9个月前。没有evidence of mass exploitation,但这并不意味着它在过去几个月内没有被使用。为了use it:[...]攻击者只需要让系统记录一个精心设计的代码字符串。2他们就可以在目标服务器上加载任意代码并安装恶意软件或发起其他攻击。3特别是,黑客可以通过看似无害的方式引入代码片段,如通过电子邮件发送字符串或将其设置为帐户用户名。这意味着假设您可以通过SSIS在此情况下利用此漏洞:1.创建要求input to the client user的SSIS包1.包必须使用log4j进行日志记录1.用户输入恶意定制的string of code...则在这种情况下,SSIS包可能会被利用。我会在空闲时间尝试一下,然后让你知道。
编辑2:
经过广泛的研究,我可以确认这不是问题,因为only version Log4j 2.X are impacted:缓解措施Log4j 1.x缓解措施:Log4j 1.x不受此漏洞的影响。Log4j 2.x缓解措施:实施以下缓解技术之一。使用FOX IT开发的log4j-finder枚举计算机上易受攻击的log4j文件。
kdfy810k2#
Microsoft现在已移除相依性
VS2019有一个新版本(3.16)的SSIS工具,它删除了对log4j的依赖性。以下是下载链接:https://marketplace.visualstudio.com/items?itemName=SSIS.SqlServerIntegrationServicesProjectsVersion 3.16 Upgrade Notes
2条答案
按热度按时间dffbzjpn1#
这不成问题。
这些.jar文件可以通过什么方式被利用来触发权限提升或软件规避?
事实上,Visual Studio使用的是旧的库,我一点也不吃惊。大公司习惯于依赖第三方库,然后他们通常被禁止在角落里多年。
编辑:
你的问题有点意思,我需要进一步挖掘。
显然,这个0天has been around since March,所以它意味着9个月前。没有evidence of mass exploitation,但这并不意味着它在过去几个月内没有被使用。
为了use it:
[...]攻击者只需要让系统记录一个精心设计的代码字符串。2他们就可以在目标服务器上加载任意代码并安装恶意软件或发起其他攻击。3特别是,黑客可以通过看似无害的方式引入代码片段,如通过电子邮件发送字符串或将其设置为帐户用户名。
这意味着假设您可以通过SSIS在此情况下利用此漏洞:
1.创建要求input to the client user的SSIS包
1.包必须使用log4j进行日志记录
1.用户输入恶意定制的string of code
...则在这种情况下,SSIS包可能会被利用。
我会在空闲时间尝试一下,然后让你知道。
编辑2:
经过广泛的研究,我可以确认这不是问题,因为only version Log4j 2.X are impacted:
缓解措施
Log4j 1.x缓解措施:Log4j 1.x不受此漏洞的影响。
Log4j 2.x缓解措施:实施以下缓解技术之一。
使用FOX IT开发的log4j-finder枚举计算机上易受攻击的log4j文件。
kdfy810k2#
Microsoft现在已移除相依性
VS2019有一个新版本(3.16)的SSIS工具,它删除了对log4j的依赖性。
以下是下载链接:https://marketplace.visualstudio.com/items?itemName=SSIS.SqlServerIntegrationServicesProjects
Version 3.16 Upgrade Notes