如果我在其他地方错过了这一点,请道歉,但是有人能告诉我,如果细胞景观使用Log4j吗?我在macOS Big Sur v11.6上安装了Cytoscape v3.9.0,并安装了openjdk v11.0.7。只是想知道现在打开Cytoscape使用是否安全,或者它是否需要安全更新。
lnxxn5zx1#
Cytoscape使用log4j,但核心仅使用log4j 1.x。不过,sbml应用程序使用log4j 2。请注意,此特定漏洞利用的途径是攻击者必须格式化一条消息,发送给记录器,请求记录器从LDAP、DNS或其他存储库加载代码。此漏洞利用的典型模式是通过HTTP请求Web服务器。在Cytoscape环境中,这将意味着设计一个CyREST查询,其中包括日志消息,以便让Cytoscape将其传递给log4j。这将是极其困难的,并且对Cytoscape非常特定。因此,作为一个直接的答案,是的,Cytoscape的一些组件使用log4j 2(sbml应用程序),但在台式机上运行Cytoscape很可能是安全的。为了确保安全,您可以阻止从笔记本电脑外部到Cytoscape REST端口的流量。--滑板车
1条答案
按热度按时间lnxxn5zx1#
Cytoscape使用log4j,但核心仅使用log4j 1.x。不过,sbml应用程序使用log4j 2。请注意,此特定漏洞利用的途径是攻击者必须格式化一条消息,发送给记录器,请求记录器从LDAP、DNS或其他存储库加载代码。此漏洞利用的典型模式是通过HTTP请求Web服务器。在Cytoscape环境中,这将意味着设计一个CyREST查询,其中包括日志消息,以便让Cytoscape将其传递给log4j。这将是极其困难的,并且对Cytoscape非常特定。因此,作为一个直接的答案,是的,Cytoscape的一些组件使用log4j 2(sbml应用程序),但在台式机上运行Cytoscape很可能是安全的。为了确保安全,您可以阻止从笔记本电脑外部到Cytoscape REST端口的流量。
--滑板车