¿Lo que ha sucedido?
Recientemente una vulnerabilidad crítica (CVE-2021-44228) fue descubierto en la biblioteca Apache Log4j. Esta vulnerabilidad se puede explotar de forma remota sin autenticación y permite la ejecución remota de código. Tiene una clasificación de 10 sobre 10 en el nivel de gravedad CVSS. Prácticamente ha incendiado el mundo. Puedes obtener más información sobre lo que sucedió. aquí y una descripción general con más enlaces aquí.
Se están descubriendo más vulnerabilidades (CVE-2021-4104, CVE-2021-45046), la información sobre ellas se puede encontrar a continuación.
Esta panagenda ¿Productos afectados?
Sí. CVE-2021-44228 afecta a varios de nuestros productos.
Actualización 2021-12-14: Ha aparecido otra vulnerabilidad relacionada con Log4j: CVE-2021-4104. Ninguno de nuestros productos es vulnerable a este nuevo CVE.
Actualizar 2021-12 15-: Una tercera vulnerabilidad, CVE-2021-45046, ha sido descubierto. Algunos de nuestros productos son vulnerables. Este CVE solo se clasifica como 3.7 de 10 y solo se puede usar para realizar un ataque DOS (denegación de servicio).
Actualización 2021-12-17: el CVE-2021-45046 anterior ahora aumentó su nivel de gravedad a 9 y también permite la ejecución remota de código. Aún así, Metabase dice que no están usando configuraciones no predeterminadas, lo que lo hace no vulnerable.
Actualización 2021-12-19: Se ha informado de otro exploit de Log4j: CVE-2021-45105. Apache lo clasifica como 7.5, puede usarse para ejecutar un ataque DOS.
Después de que se publicó la primera vulnerabilidad, inmediatamente comenzamos a revisar todos nuestros productos para ver si estaban expuestos a ella. Como era de temer, muchos de nuestros productos utilizan Log4j (o incluyen componentes de terceros que lo hacen), por lo que son vulnerables y deben actualizarse.
- ApplicationInsights, ConnectionsExpert, ADNi y iDNA Applications use algo de Log4j directamente. Comenzando con las versiones que se muestran en la columna "Reparar Release 1)"eliminaremos Log4j por completo para resolver esto y pr de manera confiableevent cualquier problema adicional.
- GreenLight, iDNA Applicationsy OfficeExpert incluye Metabase que usa Log4j. Actualizaremos la versión de Metabase en todos estos productos a una versión segura. release.
Descripción general y estado
Producto | CVE-2021-44228 | Fijar estado | Fijar Release 1) | CVE-2021-45046 / CVE-2021-45105 | Fijar estado | Fijar Release 2) | Cómo actualizar | ||
---|---|---|---|---|---|---|---|---|---|
ApplicationInsights | vulnerable - corrección disponible | liberado | 1.6.3 | vulnerable - corrección disponible | liberado | 1.6.3 | Actualizar ApplicationInsights (≥ versión 1.5.1) | ||
ConnectionsExpert 2.x | vulnerable - corrección disponible | liberado | 2.1.3 | vulnerable - corrección disponible | liberado | 2.1.3 | Actualizar ConnectionsExpert (> versión 2.0) | ||
ConnectionsExpert 3.x | vulnerable - corrección disponible | liberado | 3.1.3 | vulnerable - corrección disponible | liberado | 3.1.3 | Actualizar ConnectionsExpert (> versión 2.0) | ||
GreenLight | vulnerable - corrección disponible | liberado | 4.5.0 | vulnerable - corrección disponible | liberado | Actualizar GreenLight - solo para >=3.5.x | |||
ADNi | vulnerable - corrección disponible | liberado | 2.11.1 | vulnerable - corrección disponible | liberado | 2.11.1 | Póngase en contacto con el soporte: todos los clientes deben migrarse a iDNA Applications ya. | ||
iDNA Applications | vulnerable - corrección disponible | liberado | 2.1.2 | vulnerable - corrección disponible | liberado | 2.2.1 | Actualizar iDNA Applications | ||
MarvelClient | ambiente seguro | ambiente seguro | |||||||
OfficeExpert | vulnerable - corrección disponible | liberado | 4.3.3 | vulnerable - corrección disponible | liberado | 4.3.3 | Actualizar OfficeExpert | ||
Metabase vulnerable 3) | esperando Metabase | 4.3.4 | |||||||
OfficeExpert EPM | ambiente seguro | ambiente seguro | |||||||
SecurityInsider / Explorador de grupos | ambiente seguro | ambiente seguro | |||||||
Cambiador inteligente | ambiente seguro | ambiente seguro | |||||||
Document Properties Enchufar | ambiente seguro | ambiente seguro | |||||||
Complemento LogViewer | ambiente seguro | ambiente seguro | |||||||
Complemento del monitor de red | ambiente seguro | ambiente seguro | |||||||
PrefTree Enchufar | ambiente seguro | ambiente seguro | |||||||
Tabzilla Enchufar | ambiente seguro | ambiente seguro | |||||||
Timezone Helper Enchufar | ambiente seguro | ambiente seguro |
1) La solución releases en esta columna dirección CVE-2021-44228 tanto en nuestro propio código como en Metabase.
2) La solución releases en esta columna dirección CVE-2021-45046 y CVE-2021-45105. En algunos casos, hay filas separadas para casos en los que la solución anterior resuelve el problema en nuestro código, pero se necesita una solución más nueva con una versión actualizada de Metabase para solucionarlo allí. Véase también 3).
3) Para mitigar cualquier riesgo remanente hasta que release una versión con la Metabase actualizada release, consulte el cuadro de información "Sobre la metabase" a continuación.
Acerca de Metabase
Metabase incluye Log4j y es vulnerable a CVE-2021-44228. Para una primera solución, actualizamos a Metabase 0.40.7 (que incluye Log4j 2.15.0 y protege contra el exploit de ejecución remota de código). ReleaseLos mensajes con esta solución se pueden encontrar en la parte izquierda de la tabla anterior. (columna marcada con 1) )
Los más recientemente descubiertos CVE-2021-45046 requiere Log4j 2.16.0, y el aún más reciente CVE-2021-45105 requiere 2.17.0. Ambos CVE están fijados en nuestro propio código (release en la columna marcada con 1) ), pero estamos esperando la Metabase release que incluye 2.17.0 para nuestro próximo release.
Hasta entonces, puedes ir con el release eso soluciona el problema en nuestro código y apaga Metabase manualmente:
- Conéctese al dispositivo con ssh o masilla
GreenLight:
ventana acoplable detener gl_mebase
OfficeExpert y iDNA Applications:
parada del acoplador panagenda_mebase
¿Que pasa ahora? ¿Que necesito hacer?
Deberá actualizar los productos afectados. La releases en la parte izquierda de la tabla (columna marcada con 1) ) son la actualización importante para protegerlo contra el CVE más grave y deben aplicarse lo antes posible. El último release Se está trabajando para solucionar problemas menos graves en Metabase.
Nuestros equipos de servicio y soporte se están comunicando con todos nuestros clientes para responder preguntas y ayudar cuando sea necesario. Por favor envíe solicitudes y preguntas a Soporte @panagenda.com
Seguiremos actualizando esta publicación con más información a medida que esté disponible.