¿Lo que ha sucedido?
Recientemente una vulnerabilidad crítica (CVE-2021-44228) fue descubierto en la biblioteca Apache Log4j. Esta vulnerabilidad se puede explotar de forma remota sin autenticación y permite la ejecución remota de código. Tiene una clasificación de 10 sobre 10 en el nivel de gravedad CVSS. Prácticamente ha incendiado el mundo. Puedes obtener más información sobre lo que sucedió. esta página y una descripción general con más enlaces esta página.
Actualizar 2021-12 14-: Ha aparecido otra vulnerabilidad relacionada con Log4j: CVE-2021-4104. Ninguno de nuestros productos es vulnerable a este nuevo CVE.
Actualización 2021-12-15: Una tercera vulnerabilidad, CVE-2021-45046, ha sido descubierto. Algunos productos son vulnerables, pero nuestras correcciones para el CVE original también cubren este nuevo.
Esta panagenda ¿Productos afectados?
Si. Mira la tabla de abajo para más detalles.
Después de su publicación, inmediatamente comenzamos a revisar todos nuestros productos para detectar la exposición a esta vulnerabilidad. Como era de temer, muchos de nuestros productos utilizan Log4j (o incluyen componentes de terceros que lo hacen), por lo que son vulnerables y deben actualizarse.
| Producto | CVE-2021-44228 | CVE-2021-45046 | Estado de reparación (todos los CVE) | Fijar Release | Cómo actualizar |
|---|---|---|---|---|---|
| ApplicationInsights | vulnerable - corrección disponible | vulnerable - corrección disponible | released - 14 de diciembre | 1.6.3 | Actualizar ApplicationInsights (≥ versión 1.5.1) |
| ConnectionsExpert 2.x | vulnerable - corrección disponible | vulnerable - corrección disponible | released - 15 de diciembre | 2.1.3 | Actualizar ConnectionsExpert (> versión 2.0) |
| ConnectionsExpert 3.x | vulnerable | vulnerable | en pruebas | 3.0.2 | Actualizar ConnectionsExpert (> versión 2.0) |
| GreenLight | vulnerable - corrección disponible | ambiente seguro | released - 15 de diciembre | 4.5.0 | Actualizar GreenLight - solo para >=3.5.x |
| ADNi | vulnerable | vulnerable | en pruebas | 2.11.1 | por favor contacte a soporte |
| iDNA Applications | vulnerable - corrección disponible | vulnerable - corrección disponible | released - 13 de diciembre | 2.1.2 | Actualizar iDNA Applications |
| MarvelClient | ambiente seguro | ambiente seguro | |||
| OfficeExpert | vulnerable - corrección disponible | ambiente seguro | released - 14 de diciembre | 4.3.3 | Actualizar OfficeExpert |
| OfficeExpert EPM | ambiente seguro | ambiente seguro | |||
| SecurityInsider / Explorador de grupos | ambiente seguro | ambiente seguro | |||
| Cambiador inteligente | ambiente seguro | ambiente seguro | |||
Document Properties Plugin | ambiente seguro | ambiente seguro | |||
| Complemento LogViewer | ambiente seguro | ambiente seguro | |||
| Complemento del monitor de red | ambiente seguro | ambiente seguro | |||
| PrefTree Plugin | ambiente seguro | ambiente seguro | |||
| Tabzilla Plugin | ambiente seguro | ambiente seguro | |||
| Timezone Helper Plugin | ambiente seguro | ambiente seguro |
(La tabla se actualizará continuamente)
¿Que pasa ahora? ¿Que necesito hacer?
Actualmente estamos en el proceso de crear nuevos releases que contienen las correcciones necesarias. ReleaseLas actualizaciones de algunos productos ya están disponibles, y estamos lanzando el resto lo más rápido posible de manera segura. Se hará un seguimiento del progreso en este knowledge base . También puedes seguir nuestro correspondiente del blog.
Deberá actualizar los productos afectados. Nuestros equipos de servicio y soporte están en proceso de contactar a todos nuestros clientes para responder preguntas y ayudar cuando sea necesario.
Por favor envíe solicitudes y preguntas a Soporte @panagenda.com
Seguiremos actualizando esta publicación con más información a medida que esté disponible.