Cytoscape 是否使用 Log4j?
Does Cytoscape use Log4j?
抱歉,如果我在其他地方错过了这个,但如果 Cytoscape 使用 Log4j,谁能告诉我吗?
我在 macOS Big Sur v11.6 上安装了 Cytoscape v3.9.0,并安装了 openjdk v11.0.7。只是想知道现在打开 Cytoscape 使用是否安全,或者它是否需要安全更新。
Cytoscape 使用了 log4j,但是 core 只使用了 log4j 1.x。但是,sbml 应用程序确实使用 log4j2。请注意,此特定漏洞利用的途径是攻击者必须格式化消息以发送到请求记录器从 LDAP、DNS 或其他存储库加载代码的记录器。此漏洞利用的典型模式是通过对 Web 服务器的 HTTP 请求。在 Cytoscape 的上下文中,这意味着构建一个包含日志消息的 CyREST 查询,以使 Cytoscape 将其传递给 log4j。这对于 Cytoscape 来说非常困难并且非常具体。因此,作为一个直接的答案,是的,Cytoscape 的某些组件使用 log4j2(sbml 应用程序),但是 运行 桌面上的 Cytoscape 很可能是安全的。为确保安全,您可以阻止从笔记本电脑外部访问 Cytoscape REST 端口的流量。
-- 滑板车
抱歉,如果我在其他地方错过了这个,但如果 Cytoscape 使用 Log4j,谁能告诉我吗?
我在 macOS Big Sur v11.6 上安装了 Cytoscape v3.9.0,并安装了 openjdk v11.0.7。只是想知道现在打开 Cytoscape 使用是否安全,或者它是否需要安全更新。
Cytoscape 使用了 log4j,但是 core 只使用了 log4j 1.x。但是,sbml 应用程序确实使用 log4j2。请注意,此特定漏洞利用的途径是攻击者必须格式化消息以发送到请求记录器从 LDAP、DNS 或其他存储库加载代码的记录器。此漏洞利用的典型模式是通过对 Web 服务器的 HTTP 请求。在 Cytoscape 的上下文中,这意味着构建一个包含日志消息的 CyREST 查询,以使 Cytoscape 将其传递给 log4j。这对于 Cytoscape 来说非常困难并且非常具体。因此,作为一个直接的答案,是的,Cytoscape 的某些组件使用 log4j2(sbml 应用程序),但是 运行 桌面上的 Cytoscape 很可能是安全的。为确保安全,您可以阻止从笔记本电脑外部访问 Cytoscape REST 端口的流量。
-- 滑板车