OT Moze sa problem Log4j vztahovat aj na ST utility (Cube*)?
Jan Waclawek
konfera na efton.sk
Čtvrtek Prosinec 16 19:49:26 CET 2021
ST ma celu skupinu utilit - IDE, programator, klikaci nastavovac,
vyhladavac cipov - ktorych meno vacsinou zacina Cube, a su zalozene na
Jave.
V suvislosti s aferou log4j padla aj logicka otazka a prisla aj oficialna
odpoved, ze vzhladom na to, ze sa pouziva starsia verzia log4j, kde
problematicke vylepsenie este nebolo, tak tym problemom netrpia:
https://community.st.com/s/question/0D53W00001FmB6NSAV/i-am-using-cubemx-there-is-a-significant-security-vulnerability-of-apache-log4j-on-net-cubemx-has-this-issue-if-yes-do-you-have-any-fix-solution
(Neviem, ci je to relevantne, ale tieto utility v aktualnej verzii maju
dost pravdepodobne JVM zabudovany, aj ked tomu historicky tak nebolo,
takze niektori uzivatelia (napr. ja) mozu mat nainstalovane aj stare
verzie ktore vyuzivaju genuine javu.)
Moja otazka pritomnym expertom na veci pocitacove znie, ze bez ohladu na tu
oficialnu odpoved, ak by niektora z tych utilit aj pouzivala
"problematicku" verziu log4j, je nejaka realna sanca, aby to utocnik
zvonka nejako zneuzil? Tie utility s najvacsou pravdepodobnostou
neotvaraju pocuvajuce IP porty, nemaju na to dovod (a snad by im to nejaky
windouz firewall aj zatrhol, ci nie?).
wek
Další informace o konferenci Hw-list