¿Lo que ha sucedido?

Recientemente una vulnerabilidad crítica (CVE-2021-44228) fue descubierto en la biblioteca Apache Log4j. Esta vulnerabilidad se puede explotar de forma remota sin autenticación y permite la ejecución remota de código. Tiene una clasificación de 10 sobre 10 en el nivel de gravedad CVSS. Prácticamente ha incendiado el mundo. Puedes obtener más información sobre lo que sucedió. aquí y una descripción general con más enlaces aquí.

Se están descubriendo más vulnerabilidades (CVE-2021-4104, CVE-2021-45046), la información sobre ellas se puede encontrar a continuación.

Esta panagenda ¿Productos afectados?

Sí. CVE-2021-44228 afecta a varios de nuestros productos.

Actualización 2021-12-14: Ha aparecido otra vulnerabilidad relacionada con Log4j: CVE-2021-4104. Ninguno de nuestros productos es vulnerable a este nuevo CVE.
Actualizar 2021-12 15-: Una tercera vulnerabilidad, CVE-2021-45046, ha sido descubierto. Algunos de nuestros productos son vulnerables. Este CVE solo se clasifica como 3.7 de 10 y solo se puede usar para realizar un ataque DOS (denegación de servicio).
Actualización 2021-12-17: el CVE-2021-45046 anterior ahora aumentó su nivel de gravedad a 9 y también permite la ejecución remota de código. Aún así, Metabase dice que no están usando configuraciones no predeterminadas, lo que lo hace no vulnerable.
Actualización 2021-12-19: Se ha informado de otro exploit de Log4j: CVE-2021-45105. Apache lo clasifica como 7.5, puede usarse para ejecutar un ataque DOS.


Después de que se publicó la primera vulnerabilidad, inmediatamente comenzamos a revisar todos nuestros productos para ver si estaban expuestos a ella. Como era de temer, muchos de nuestros productos utilizan Log4j (o incluyen componentes de terceros que lo hacen), por lo que son vulnerables y deben actualizarse.

  • ApplicationInsights, ConnectionsExpert, ADNi y iDNA Applications use algo de Log4j directamente. Comenzando con las versiones que se muestran en la columna "Reparar Release 1)"eliminaremos Log4j por completo para resolver esto y pr de manera confiableevent cualquier problema adicional.
  • GreenLight, iDNA Applicationsy OfficeExpert incluye Metabase que usa Log4j. Actualizaremos la versión de Metabase en todos estos productos a una versión segura. release.

Descripción general y estado

ProductoCVE-2021-44228Fijar estadoFijar Release 1)
CVE-2021-45046 / CVE-2021-45105Fijar estadoFijar Release 2)
Cómo actualizar
ApplicationInsightsvulnerable - corrección disponibleliberado1.6.3
vulnerable - corrección disponibleliberado1.6.3
Actualizar ApplicationInsights (≥ versión 1.5.1)
ConnectionsExpert 2.xvulnerable - corrección disponibleliberado2.1.3
vulnerable - corrección disponibleliberado2.1.3
Actualizar ConnectionsExpert (> versión 2.0)
ConnectionsExpert 3.xvulnerable - corrección disponibleliberado3.1.3
vulnerable - corrección disponibleliberado3.1.3
Actualizar ConnectionsExpert (> versión 2.0)
GreenLightvulnerable - corrección disponibleliberado4.5.0
vulnerable - corrección disponible

liberado

4.5.1


Actualizar GreenLight - solo para >=3.5.x
ADNivulnerable - corrección disponibleliberado2.11.1
vulnerable - corrección disponibleliberado2.11.1
Póngase en contacto con el soporte: todos los clientes deben migrarse a iDNA Applications ya.
iDNA Applicationsvulnerable - corrección disponibleliberado2.1.2
vulnerable - corrección disponibleliberado2.2.1
Actualizar iDNA Applications
MarvelClientambiente seguro


ambiente seguro



OfficeExpertvulnerable - corrección disponibleliberado4.3.3
vulnerable - corrección disponibleliberado4.3.3
Actualizar OfficeExpert





Metabase vulnerable 3)esperando Metabase4.3.4

OfficeExpert EPMambiente seguro


ambiente seguro



SecurityInsider / Explorador de gruposambiente seguro


ambiente seguro



Cambiador inteligenteambiente seguro


ambiente seguro













Document Properties Enchufar

ambiente seguro


ambiente seguro



Complemento LogViewerambiente seguro


ambiente seguro



Complemento del monitor de redambiente seguro


ambiente seguro



PrefTree Enchufarambiente seguro


ambiente seguro



Tabzilla Enchufarambiente seguro


ambiente seguro



Timezone Helper Enchufarambiente seguro


ambiente seguro



1) La solución releases en esta columna dirección CVE-2021-44228 tanto en nuestro propio código como en Metabase.
2) La solución releases en esta columna dirección CVE-2021-45046 y CVE-2021-45105. En algunos casos, hay filas separadas para casos en los que la solución anterior resuelve el problema en nuestro código, pero se necesita una solución más nueva con una versión actualizada de Metabase para solucionarlo allí. Véase también 3).
3) Para mitigar cualquier riesgo remanente hasta que release una versión con la Metabase actualizada release, consulte el cuadro de información "Sobre la metabase" a continuación.


Acerca de Metabase

Metabase incluye Log4j y es vulnerable a CVE-2021-44228. Para una primera solución, actualizamos a Metabase 0.40.7 (que incluye Log4j 2.15.0 y protege contra el exploit de ejecución remota de código). ReleaseLos mensajes con esta solución se pueden encontrar en la parte izquierda de la tabla anterior. (columna marcada con 1) )

Los más recientemente descubiertos CVE-2021-45046 requiere Log4j 2.16.0, y el aún más reciente CVE-2021-45105 requiere 2.17.0. Ambos CVE están fijados en nuestro propio código (release en la columna marcada con 1) ), pero estamos esperando la Metabase release que incluye 2.17.0 para nuestro próximo release.
Hasta entonces, puedes ir con el release eso soluciona el problema en nuestro código y apaga Metabase manualmente:

  • Conéctese al dispositivo con ssh o masilla
  • GreenLight:

    ventana acoplable detener gl_mebase
  • OfficeExpert y iDNA Applications:

    parada del acoplador panagenda_mebase

¿Que pasa ahora? ¿Que necesito hacer?

Deberá actualizar los productos afectados. La releases en la parte izquierda de la tabla (columna marcada con 1) ) son la actualización importante para protegerlo contra el CVE más grave y deben aplicarse lo antes posible. El último release Se está trabajando para solucionar problemas menos graves en Metabase.

Nuestros equipos de servicio y soporte se están comunicando con todos nuestros clientes para responder preguntas y ayudar cuando sea necesario. Por favor envíe solicitudes y preguntas a Soporte @panagenda.com


Seguiremos actualizando esta publicación con más información a medida que esté disponible.