抱歉,如果我在其他地方错过了这一点,但是有人可以告诉我 Cytoscape 是否使用 Log4j 吗?
我在 macOS Big Sur v11.6 上安装了 Cytoscape v3.9.0,并安装了 openjdk v11.0.7。只是想知道目前打开 Cytoscape 是否安全或者是否需要安全更新。
Cytoscape 使用 log4j,但核心仅使用 log4j 1.x。然而,sbml 应用程序确实使用 log4j2。请注意,此特定漏洞的途径是攻击者必须格式化消息以发送到记录器,请求记录器从 LDAP、DNS 或其他存储库加载代码。此漏洞利用的典型模式是通过向 Web 服务器发出 HTTP 请求。
在 Cytoscape 的上下文中,这意味着创建一个包含日志消息的 CyREST 查询,以便让 Cytoscape 将其传递给 log4j。这对于 Cytoscape 来说是非常困难的并且非常具体。因此,作为直接答案,是的,Cytoscape 的某些组件使用 log4j2(sbml 应用程序),但在桌面上运行 Cytoscape 很可能是安全的。为了确保安全,您可以阻止从笔记本电脑外部到 Cytoscape REST 端口的流量。