Visual Studio 2019 SSIS 扩展 log4j 文件
Visual Studio 2019 SSIS-Extension log4j files
由于最近 log4j 的问题,我正在检查我所有的代码等等。
这样做时,我发现了两个名为
的文件
“slf4j-log4j12-1.7.5.jar”和“log4j-1.2.17.jar”
找到下
"...\Microsoft Visual Studio19\Professional\Common7\IDE\CommonExtensions\Microsoft\SSIS0\Extensions\Common\Jars"
由于我们也在开发 SSIS 包,因此我们有点依赖此扩展。
可悲的是,我无法在 log4j 的上下文中找到有关 SSIS 的任何信息。 IMO 也有点可疑,log4j 的版本似乎是 1.x,支持在 2015 年结束。
有没有已知的fixes/updates?
这不是问题。
可以通过哪些方式利用这些 .jar 文件来触发权限提升或软件规避?
Visual Studio 使用旧库这一事实一点也不让我震惊。大公司习惯依赖第三方库,然后这些年通常被禁在角落里。
编辑:
你的问题有点有趣,我需要进一步挖掘。
显然是这个 0-day has been around since March, so it means 9 month ago. There is no evidence of mass exploitation 但这并不意味着它在过去几个月没有被使用过。
为了use it:
[...] an attacker only needs to get the system to log a strategically
crafted string of code. From there they can load arbitrary code on the
targeted server and install malware or launch other attacks. Notably,
hackers can introduce the snippet in seemingly benign ways, like by
sending the string in an email or setting it as an account username.
这意味着假设您可以在这种情况下通过 SSIS 利用该漏洞:
- 创建一个要求 input to the client user
的 SSIS 包
- 包必须使用 log4j 进行日志记录
- 用户输入恶意制作string of code
...那么在这种情况下可以利用 SSIS 包。
我会在空闲时间尝试一下,然后告诉你。
编辑 2:
经过广泛的研究,我可以确认这不是问题,因为 only version Log4j 2.X are impacted:
Mitigation
Log4j 1.x mitigation: Log4j 1.x is not impacted by this vulnerability.
Log4j 2.x mitigation: Implement one of the mitigation techniques
below.
使用 log4j-finder developed by FOX IT 枚举计算机上易受攻击的 log4j 文件。
Microsoft 现已删除依赖项
VS2019 的 SSIS 工具有一个新版本 (3.16),它删除了对 log4j 的依赖。
下载link:
https://marketplace.visualstudio.com/items?itemName=SSIS.SqlServerIntegrationServicesProjects
Version 3.16 Upgrade Notes
由于最近 log4j 的问题,我正在检查我所有的代码等等。 这样做时,我发现了两个名为
的文件“slf4j-log4j12-1.7.5.jar”和“log4j-1.2.17.jar”
找到下
"...\Microsoft Visual Studio19\Professional\Common7\IDE\CommonExtensions\Microsoft\SSIS0\Extensions\Common\Jars"
由于我们也在开发 SSIS 包,因此我们有点依赖此扩展。 可悲的是,我无法在 log4j 的上下文中找到有关 SSIS 的任何信息。 IMO 也有点可疑,log4j 的版本似乎是 1.x,支持在 2015 年结束。
有没有已知的fixes/updates?
这不是问题。
可以通过哪些方式利用这些 .jar 文件来触发权限提升或软件规避?
Visual Studio 使用旧库这一事实一点也不让我震惊。大公司习惯依赖第三方库,然后这些年通常被禁在角落里。
编辑:
你的问题有点有趣,我需要进一步挖掘。
显然是这个 0-day has been around since March, so it means 9 month ago. There is no evidence of mass exploitation 但这并不意味着它在过去几个月没有被使用过。
为了use it:
[...] an attacker only needs to get the system to log a strategically crafted string of code. From there they can load arbitrary code on the targeted server and install malware or launch other attacks. Notably, hackers can introduce the snippet in seemingly benign ways, like by sending the string in an email or setting it as an account username.
这意味着假设您可以在这种情况下通过 SSIS 利用该漏洞:
- 创建一个要求 input to the client user 的 SSIS 包
- 包必须使用 log4j 进行日志记录
- 用户输入恶意制作string of code
...那么在这种情况下可以利用 SSIS 包。
我会在空闲时间尝试一下,然后告诉你。
编辑 2:
经过广泛的研究,我可以确认这不是问题,因为 only version Log4j 2.X are impacted:
Mitigation
Log4j 1.x mitigation: Log4j 1.x is not impacted by this vulnerability.
Log4j 2.x mitigation: Implement one of the mitigation techniques below.
使用 log4j-finder developed by FOX IT 枚举计算机上易受攻击的 log4j 文件。
Microsoft 现已删除依赖项
VS2019 的 SSIS 工具有一个新版本 (3.16),它删除了对 log4j 的依赖。
下载link: https://marketplace.visualstudio.com/items?itemName=SSIS.SqlServerIntegrationServicesProjects
Version 3.16 Upgrade Notes