TI中文支持网Part Number:CODECOMPOSER
器件型号: CODECOMPOSER
由于 Code Composer Studio 包含 Eclipse 插件目录 (v9.3) 中的 log4j JAR 文件,因此它是否容易被 Log4J 漏洞利用?
我在 GitHub 网站上找不到提到的 CCS 或 Eclipse: GitHub – cisagov/log4j-affected-db
最好在这方面得到官方的回应。我没有看到 TI 对此主题的任何官方回复。
Annie Liu:
Code Composer Studio 不受 log4j 中识别到的漏洞的影响。 Code Composer Studio 包括 Eclipse CDT,其中包括 log4j。 但是,包含的版本是 1.2.15。 此版本不受该漏洞影响。
有关更多信息,请参见以下参考资料:
https://www.ti2k.com/wp-content/uploads/ti2k/DeyiSupport_CCS_Eclipse_and_log4j2_vulnerability_(CVE-2021-44228) 该站点总结了各种 Eclipse 项目及其 log4j 状态。 相关条目是 Eclipse CDT。
https://logging.apache.org/log4j/2.x/security.html在缓解措施部分下,显示 log4j 1.x 不受该漏洞的影响。
,
Annie Liu:
Q: 我的理解是所有 CCS 版本都不受 log4j 漏洞影响,因为 CCS 使用了 Log4j 1.x,这是否正确?
,
Annie Liu:
A: 是,这是正确的。 CCS 的所有版本都不受该漏洞的影响。
但理论上可能会受到许多与 Log4j 1.x 相关的 CVE 的影响(例如,一个不错的示例是 CVE-2019-17571)。log4j 1.x 的 EOL 为 6 年。
