NuGenesis LMS使用的 log4net.dll 版本是否易受 CVE-2018-1285 的攻击? - WKB274204
文章编号: 274204点击此处访问英文版本文章
环境
- NuGenesis 9 LMS
- NuGenesis 8 LMS
答案
有。 LMS客户端随附的 log4net 版本为 v2.0.8,该版本存在 CVE-2018-1285 中所述的漏洞。
附加信息
利用此漏洞需要 NuGenesis 客户端计算机的本地访问权限,并具有写入 NuGenesis LMS客户端安装文件夹中文件的权限。
为了缓解此漏洞的影响,请限制用户对LMS客户端安装路径的“读取”权限和“读取和执行”权限。
已提交改进请求 CRI-6598,请求升级LMS客户端中的 log4net 库。
id274204, NGLMS, NGLMSLIC, NGLMSOPT, SUPNG, upgrade