MassLynx 或其相关处理软件是否受到 log4j (CVE-2021-44228) 漏洞的影响？- WKB224560

环境

• MassLynx 4.2
• MassLynx 4.1

答案

Apache Log4j 漏洞更新 2022 年 2 月 3 日

Waters 注意到安全研究人员于 2021 年 12 月 9 日宣布的“零日”漏洞 (CVE-2021-44228)，它会对一个通用软件包 (Apache log4j) 产生影响。由于 log4j 广泛用于 Web 应用程序和云服务提供商，因此这一漏洞的整个范围很复杂，其影响仍在确定之中。Waters 产品和工程团队将继续调查此事。Waters 将根据需要为客户提供有关 log4j 漏洞的更新，并在评估完成时通知客户。

作为我们初步调查的一部分，已确定以下列出的 Waters MassLynx 软件及其相关组件不受 Apache log4j 漏洞影响。

已分析以下 Waters 软件是否存在 log4j*.jar 文件：

• MassLynx 4.2。（包括来自 MassLynx 安装程序的 FractionLynx、IonLynx、TargetLynx、OpenLynx、ChromaLynx、MetaboLynx、BioLynx 和 MaxEnt 选项）
• MassFragment
• DriftScope 3.0
• BiopharmaLynx 1.3.5
• MSe Dataviewer 2.0
• Progenesis QI
• 蛋白质组学数据分析软件 Progenesis QI
• Symphony
• HDI1.6
• DynamX3.0
• HDMS Compare 2.0
• PromassBridge 1.2
• LiveID1.2
• MassLynx Skyline Interface 1.2
• Waters 压缩和降噪工具 (SCN968)
• PLGS3.0.3
• Driver Pack 2021 R1

在上述软件组件中，只有 PLGS3.0.3 安装文件夹包含 log4j jar 文件。PLGS 使用的是 log4j 1.2.17 版，不是在 Apache 最近发布的安全警报中被列为易受攻击的 log4j 版本 (https://logging.apache.org/log4j/2.x/security.html)。Log4j 1.2.17.jar 不包含与报告的漏洞关联的 JMSAppender.class 文件。

附加信息