Recientemente leí sobre el problema del día cero en Log4J. Trabajo con algunas aplicaciones, escritas con .NET, que usan la biblioteca de registro log4net , que se basa en Log4j.
¿Tiene log4net alguna vulnerabilidad de seguridad similar a la vulnerabilidad CVE-2021-44228 de Log4j?
¿Tiene log4net alguna vulnerabilidad de seguridad similar a la vulnerabilidad CVE-2021-44228 de Log4j?
no lo creo Si lo hicieran, sería una coincidencia. No creo que compartan código.
Detalles de vulnerabilidad: CVE-2021-44228 (Detalles de CVE) y CVE-2021-44228 (CVE) tienen la siguiente nota:
Tenga en cuenta que esta vulnerabilidad es específica de log4j-core y no afecta a log4net, log4cxx u otros proyectos de Apache Logging Services.
Entonces, no. Log4Net está bien.
No, es específico de Log4j-core. Consulte el detalle de CVE-2021-44228 ( NIST ).
Hace mucho tiempo estaba programando C++ cuando descubrí que el paquete de C++ que estaba usando para acceder a la base de datos era solo un contenedor para el código Java.
El hecho de que el error de seguridad exista en una parte central solo de Java de Log4j no significa que Log4Net esté libre de errores y sea seguro. También podría tener otros problemas de seguridad.
De hecho, cualquier pieza de software puede tener vulnerabilidades y probablemente también las tenga. No es solo un problema con Log4j o Log4net, sino un problema con cualquier paquete que aceptamos rápidamente y en el que confiamos.