MassLynx 或其相关处理软件是否受到 log4j (CVE-2021-44228) 漏洞的影响?- WKB224560
文章编号: 224560点击此处访问英文版本文章
环境
- MassLynx 4.2
- MassLynx 4.1
答案
Apache Log4j 漏洞更新 2022 年 2 月 3 日
Waters 注意到安全研究人员于 2021 年 12 月 9 日宣布的“零日”漏洞 (CVE-2021-44228),它会对一个通用软件包 (Apache log4j) 产生影响。由于 log4j 广泛用于 Web 应用程序和云服务提供商,因此这一漏洞的整个范围很复杂,其影响仍在确定之中。Waters 产品和工程团队将继续调查此事。Waters 将根据需要为客户提供有关 log4j 漏洞的更新,并在评估完成时通知客户。
作为我们初步调查的一部分,已确定以下列出的 Waters MassLynx 软件及其相关组件不受 Apache log4j 漏洞影响。
已分析以下 Waters 软件是否存在 log4j*.jar 文件:
- MassLynx 4.2。(包括来自 MassLynx 安装程序的 FractionLynx、IonLynx、TargetLynx、OpenLynx、ChromaLynx、MetaboLynx、BioLynx 和 MaxEnt 选项)
- MassFragment
- DriftScope 3.0
- BiopharmaLynx 1.3.5
- MSe Dataviewer 2.0
- Progenesis QI
- 蛋白质组学数据分析软件 Progenesis QI
- Symphony
- HDI1.6
- DynamX3.0
- HDMS Compare 2.0
- PromassBridge 1.2
- LiveID1.2
- MassLynx Skyline Interface 1.2
- Waters 压缩和降噪工具 (SCN968)
- PLGS3.0.3
- Driver Pack 2021 R1
在上述软件组件中,只有 PLGS3.0.3 安装文件夹包含 log4j jar 文件。PLGS 使用的是 log4j 1.2.17 版,不是在 Apache 最近发布的安全警报中被列为易受攻击的 log4j 版本 (https://logging.apache.org/log4j/2.x/security.html)。Log4j 1.2.17.jar 不包含与报告的漏洞关联的 JMSAppender.class 文件。
附加信息
id224560, BIOPHARMLX, MLYNX, MLYNXV41, noise, SCN 968, SUPMM, SUPPLGS, 噪音