<div dir="auto">Z interního šetření vyplývá, že log4j použitá v Cube produktech není napadnutelná bez přímého přístupu k počítači - žádný server není spuštěný. <br><br>V další verzi se bude aktualizovat verze, ale riziko tam není.<div><br></div><div>Tomáš </div></div><div style="line-height:1.5"><br><br>-------- Původní zpráva --------<br>Od: Jan Waclawek <konfera@efton.sk><br>Datum: čt 16. pro 2021 19:49<br>Komu: hw-list@list.hw.cz<br>Předmět: OT Moze sa problem Log4j vztahovat aj na ST utility (Cube*)?<br><blockquote>ST ma celu skupinu utilit - IDE, programator, klikaci nastavovac,<br>vyhladavac cipov - ktorych meno vacsinou zacina Cube, a su zalozene na<br>Jave. <br><br>V suvislosti s aferou log4j padla aj logicka otazka a prisla aj oficialna<br>odpoved, ze vzhladom na to, ze sa pouziva starsia verzia log4j, kde<br>problematicke vylepsenie este nebolo, tak tym problemom netrpia:<br><br>https://community.st.com/s/question/0D53W00001FmB6NSAV/i-am-using-cubemx-there-is-a-significant-security-vulnerability-of-apache-log4j-on-net-cubemx-has-this-issue-if-yes-do-you-have-any-fix-solution<br><br>(Neviem, ci je to relevantne, ale tieto utility v aktualnej verzii maju<br>dost pravdepodobne JVM zabudovany, aj ked tomu historicky tak nebolo,<br>takze niektori uzivatelia (napr. ja) mozu mat nainstalovane aj stare<br>verzie ktore vyuzivaju genuine javu.)<br><br>Moja otazka pritomnym expertom na veci pocitacove znie, ze bez ohladu na tu<br>oficialnu odpoved, ak by niektora z tych utilit aj pouzivala<br>"problematicku" verziu log4j, je nejaka realna sanca, aby to utocnik<br>zvonka nejako zneuzil? Tie utility s najvacsou pravdepodobnostou<br>neotvaraju pocuvajuce IP porty, nemaju na to dovod (a snad by im to nejaky<br>windouz firewall aj zatrhol, ci nie?).<br><br>wek<br>_______________________________________________<br>HW-list mailing list  -  sponsored by www.HW.cz<br>Hw-list@list.hw.cz<br>http://list.hw.cz/mailman/listinfo/hw-list<br></blockquote></div>