[FAQ] CODECOMPOSER: CCS 是否容易被 Log4j 漏洞利用

Annie Liu

Part Number: CODECOMPOSER

器件型号： CODECOMPOSER

由于 Code Composer Studio 包含 Eclipse 插件目录 (v9.3) 中的 log4j JAR 文件，因此它是否容易被 Log4J 漏洞利用？

我在 GitHub 网站上找不到提到的 CCS 或 Eclipse： GitHub - cisagov/log4j-affected-db

最好在这方面得到官方的回应。我没有看到 TI 对此主题的任何官方回复。

0 Annie Liu 2 年多前

Code Composer Studio 不受 log4j 中识别到的漏洞的影响。 Code Composer Studio 包括 Eclipse CDT，其中包括 log4j。但是，包含的版本是 1.2.15。此版本不受该漏洞影响。

有关更多信息，请参见以下参考资料：

https://wiki.eclipse.org/Eclipse_and_log4j2_vulnerability_(CVE-2021-44228) 该站点总结了各种 Eclipse 项目及其 log4j 状态。相关条目是 Eclipse CDT。
https://logging.apache.org/log4j/2.x/security.html在缓解措施部分下，显示 log4j 1.x 不受该漏洞的影响。

0 Annie Liu 2 年多前回复 Annie Liu

Q: 我的理解是所有 CCS 版本都不受 log4j 漏洞影响，因为 CCS 使用了 Log4j 1.x，这是否正确？

+1 Annie Liu 2 年多前回复 Annie Liu

A: 是，这是正确的。 CCS 的所有版本都不受该漏洞的影响。

但理论上可能会受到许多与 Log4j 1.x 相关的 CVE 的影响（例如，一个不错的示例是 CVE-2019-17571）。log4j 1.x 的 EOL 为 6 年。

Code Composer Studio 论坛