¿Lo que ha sucedido?
Recientemente una vulnerabilidad crítica (CVE-2021-44228) fue descubierto en la biblioteca Apache Log4j. Esta vulnerabilidad se puede explotar de forma remota sin autenticación y permite la ejecución remota de código. Tiene una clasificación de 10 sobre 10 en el nivel de gravedad CVSS. Prácticamente ha incendiado el mundo. Puedes obtener más información sobre lo que sucedió. esta página y una descripción general con más enlaces esta página.
Se están descubriendo más vulnerabilidades (CVE-2021-4104, CVE-2021-45046), la información sobre ellas se puede encontrar a continuación.
Esta panagenda ¿Productos afectados?
Sí. CVE-2021-44228 afecta a varios de nuestros productos.
Actualización 2021-12-14: Ha aparecido otra vulnerabilidad relacionada con Log4j: CVE-2021-4104. Ninguno de nuestros productos es vulnerable a este nuevo CVE.
Actualizar 2021-12 15-: Una tercera vulnerabilidad, CVE-2021-45046, ha sido descubierto. Algunos de nuestros productos son vulnerables. Este CVE solo se clasifica como 3.7 de 10 y solo se puede usar para realizar un ataque DOS (denegación de servicio).
Después de que se publicó la primera vulnerabilidad, inmediatamente comenzamos a revisar todos nuestros productos para ver si estaban expuestos a ella. Como era de temer, muchos de nuestros productos utilizan Log4j (o incluyen componentes de terceros que lo hacen), por lo que son vulnerables y deben actualizarse.
- ApplicationInsights, ConnectionsExpert, ADNi y iDNA Applications releaseUsa algo de Log4j directamente. Comenzando con las versiones que se muestran en la columna "Reparar Release 1)"eliminaremos Log4j por completo para resolver esto y pr de manera confiableevent cualquier problema adicional.
- GreenLight, iDNA Applicationsy OfficeExpert incluye Metabase que usa Log4j. Actualizaremos la versión de Metabase en todos estos productos a una versión segura. release.
Descripción general y estado
| Producto | CVE-2021-44228 | Fijar estado | Fijar Release 1) | CVE-2021-45046 | Fijar estado | Fijar Release 2) | Cómo actualizar | ||
|---|---|---|---|---|---|---|---|---|---|
| ApplicationInsights | vulnerable - corrección disponible | released - 14 de diciembre | 1.6.3 | vulnerable - corrección disponible | released - 14 de diciembre | 1.6.3 | Actualizar ApplicationInsights (≥ versión 1.5.1) | ||
| ConnectionsExpert 2.x | vulnerable - corrección disponible | released - 15 de diciembre | 2.1.3 | vulnerable - corrección disponible | released - 15 de diciembre | 2.1.3 | Actualizar ConnectionsExpert (> versión 2.0) | ||
| ConnectionsExpert 3.x | vulnerable | en pruebas | 3.0.2 | vulnerable | en pruebas | 3.0.2 | Actualizar ConnectionsExpert (> versión 2.0) | ||
| GreenLight | vulnerable - corrección disponible | released - 15 de diciembre | 4.5.0 | vulnerable - corrección disponible | released - 15 de diciembre | Actualizar GreenLight - solo para >=3.5.x | |||
| Metabase potencialmente vulnerable 3) | esperando Metabase | 4.5.1 | |||||||
| ADNi | vulnerable | en pruebas | 2.11.1 | vulnerable | en pruebas | 2.11.1 | Póngase en contacto con el soporte: todos los clientes deben migrarse a iDNA Applications ya. | ||
| iDNA Applications | vulnerable - corrección disponible | released - 13 de diciembre | 2.1.2 | vulnerable - corrección disponible | released - 13 de diciembre | 2.1.2 | Actualizar iDNA Applications | ||
| Metabase potencialmente vulnerable 3) | esperando Metabase | 2.1.3 | |||||||
| MarvelClient | ambiente seguro | ambiente seguro | |||||||
| OfficeExpert | vulnerable - corrección disponible | released - 14 de diciembre | 4.3.3 | vulnerable - corrección disponible | released - 14 de diciembre | 4.3.3 | Actualizar OfficeExpert | ||
| Metabase potencialmente vulnerable 3) | esperando Metabase | 4.3.4 | |||||||
| OfficeExpert EPM | ambiente seguro | ambiente seguro | |||||||
| SecurityInsider / Explorador de grupos | ambiente seguro | ambiente seguro | |||||||
| Cambiador inteligente | ambiente seguro | ambiente seguro | |||||||
Document Properties Enchufar | ambiente seguro | ambiente seguro | |||||||
| Complemento LogViewer | ambiente seguro | ambiente seguro | |||||||
| Complemento del monitor de red | ambiente seguro | ambiente seguro | |||||||
| PrefTree Enchufar | ambiente seguro | ambiente seguro | |||||||
| Tabzilla Enchufar | ambiente seguro | ambiente seguro | |||||||
| Timezone Helper Enchufar | ambiente seguro | ambiente seguro |
1) La solución releases en esta columna dirección CVE-2021-44228 tanto en nuestro propio código como en Metabase.
2) La solución releaseLos correos electrónicos de esta columna tienen la dirección CVE-2021-45046 y están divididos en algunos casos. Hay filas separadas para casos en los que la solución anterior resuelve el problema en nuestro código, pero todavía estamos esperando una versión de Metabase para poder emitir otra. release. Véase también 3).
3) Para mitigar cualquier riesgo restante hasta que llegue una actualización de Metabase, consulte el cuadro de información "Con respecto a Metabase" a continuación.
Acerca de Metabase
Metabase incluye Log4j y es vulnerable a CVE-2021-44228. Para una primera solución, actualizamos a Metabase 0.40.7 (que incluye Log4j 2.15.0 y protege contra el exploit de ejecución remota de código). ReleaseLos mensajes con esta solución se pueden encontrar en la parte izquierda de la tabla anterior. (columna marcada con 1) )
Los más recientemente descubiertos CVE-2021-45046 requiere Log4j 2.16.0 para el cual no hay Metabase release está disponible todavía.
Sin embargo: este nuevo CVE es mucho menos crítico y, según los desarrolladores de Metabase, ni siquiera debería verse afectado por él. Aún así, estamos esperando una nueva versión de Metabase y crearemos nuevos releases una vez que esté disponible solo para estar lo más seguro posible.
Si no se siente cómodo con el declaración no oficial del desarrollador de Metabase con respecto a CVE-2021-45046, puedes desactivar Metabase manualmente por ahora:
- Conéctese al dispositivo con ssh o masilla
GreenLight:
ventana acoplable detener gl_mebase
OfficeExpert y iDNA Applications:
parada del acoplador panagenda_mebase
¿Que pasa ahora? ¿Que necesito hacer?
Actualmente estamos en el proceso de crear nuevos releases que contienen las correcciones necesarias. ReleaseLas actualizaciones de algunos productos ya están disponibles, y estamos lanzando el resto lo más rápido posible de manera segura. Se hará un seguimiento del progreso en este knowledge base . También puedes seguir nuestro correspondiente del blog.
Deberá actualizar los productos afectados. La releases en la parte izquierda de la tabla (columna marcada con 1) ) son la actualización importante para protegerlo contra el CVE más grave y deben aplicarse lo antes posible.
Nuestros equipos de servicio y soporte están en proceso de contactar a todos nuestros clientes para responder preguntas y ayudar cuando sea necesario. Por favor envíe solicitudes y preguntas a Soporte @panagenda.com
Seguiremos actualizando esta publicación con más información a medida que esté disponible.