OT Moze sa problem Log4j vztahovat aj na ST utility (Cube*)?

Jan Waclawek konfera na efton.sk
Pátek Prosinec 17 11:22:12 CET 2021 

Ahoj Tomas,

Dakujem za "presetrenie" :-)

Mohol by si to prosim napisat (Ty alebo ktokolvek iny z ST) aj do toho
linkovaneho vlakna na fore?

Dakujem

wek


----- Original Message ---------------

Subject: Re: OT Moze sa problem Log4j vztahovat aj na ST utility (Cube*)?
   From: ??Tomáš Dresler?? <Dresler na hw.cz>
   Date: Fri, 17 Dec 2021 11:07:51 +0100
     To: HW-news <hw-list na list.hw.cz>

>
>Z interního šetření vyplývá, že log4j použitá v Cube produktech není napadnutelná bez přímého přístupu k počítači - žádný server není spuštěný. 
>
>V další verzi se bude aktualizovat verze, ale riziko tam není.
>
>Tomáš 
>
>-------- Původní zpráva --------
>Od: Jan Waclawek <konfera na efton.sk>
>Datum: čt 16. pro 2021 19:49
>Komu: hw-list na list.hw.cz
>Předmět: OT Moze sa problem Log4j vztahovat aj na ST utility (Cube*)?
>ST ma celu skupinu utilit - IDE, programator, klikaci nastavovac,
>vyhladavac cipov - ktorych meno vacsinou zacina Cube, a su zalozene na
>Jave. 
>
>V suvislosti s aferou log4j padla aj logicka otazka a prisla aj oficialna
>odpoved, ze vzhladom na to, ze sa pouziva starsia verzia log4j, kde
>problematicke vylepsenie este nebolo, tak tym problemom netrpia:
>
>https://community.st.com/s/question/0D53W00001FmB6NSAV/i-am-using-cubemx-there-is-a-significant-security-vulnerability-of-apache-log4j-on-net-cubemx-has-this-issue-if-yes-do-you-have-any-fix-solution
>
>(Neviem, ci je to relevantne, ale tieto utility v aktualnej verzii maju
>dost pravdepodobne JVM zabudovany, aj ked tomu historicky tak nebolo,
>takze niektori uzivatelia (napr. ja) mozu mat nainstalovane aj stare
>verzie ktore vyuzivaju genuine javu.)
>
>Moja otazka pritomnym expertom na veci pocitacove znie, ze bez ohladu na tu
>oficialnu odpoved, ak by niektora z tych utilit aj pouzivala
>"problematicku" verziu log4j, je nejaka realna sanca, aby to utocnik
>zvonka nejako zneuzil? Tie utility s najvacsou pravdepodobnostou
>neotvaraju pocuvajuce IP porty, nemaju na to dovod (a snad by im to nejaky
>windouz firewall aj zatrhol, ci nie?).
>
>wek

Další informace o konferenci Hw-list