何が起きたの?
最近重大な脆弱性(CVE-2021-44228)ApacheLog4jライブラリで発見されました。 この脆弱性は、認証なしでリモートで悪用される可能性があり、リモートでコードが実行される可能性があります。 CVSSの重大度レベルで10のうち10にランク付けされます。 それはほとんど世界を炎上させました。 あなたは何が起こったのかについてもっと知ることができます こちら およびより多くのリンクを含む概要 こちら.
より多くの脆弱性が発見されています(CVE-2021-4104、CVE-2021-45046)。それらに関する情報は以下にあります。
です。 panagenda 影響を受ける製品?
はい。 CVE-2021-44228 当社の製品のいくつかに影響を与えます。
アップデート2021-12-14:Log4jに関連する別の脆弱性が発生しました: CVE-2021-4104。 当社の製品はいずれも、この新しいCVEに対して脆弱ではありません。
2021-12-15を更新します。 XNUMX番目の脆弱性 CVE-2021-45046、発見されました。 一部の製品は脆弱です。 このCVEは、3.7のうち10としてのみ分類され、DOS(サービス拒否)攻撃を実行するためにのみ使用できます。
アップデート2021-12-17:上記のCVE-2021-45046の重大度レベルが9に引き上げられ、リモートでコードが実行される可能性があります。 それでも、Metabaseは、デフォルト以外の構成を使用していないため、脆弱性はないと述べています。
アップデート2021-12-19:別のLog4jエクスプロイトが報告されています: CVE-2021-45105。 Apacheはそれを7.5として分類し、DOS攻撃を実行するために使用できます。
最初の脆弱性が公開された後、私たちはすぐにすべての製品の脆弱性のチェックを開始しました。 恐れられていたように、当社の製品の多くはLog4jを使用している(または使用しているサードパーティのコンポーネントを含んでいる)ため、脆弱であり、更新する必要があります。
- ApplicationInsights, ConnectionsExpert、iDNA、および iDNA Applications Log4jを直接使用します。 「修正」の列に示されているバージョンから開始します Release 1)「これを解決し、確実にprを実行するために、Log4jを完全に削除しますevent それ以上の問題。
- GreenLight, iDNA Applications, OfficeExpert Log4jを使用するMetabaseを含めます。 これらすべての製品のMetabaseバージョンを安全なものに更新します release.
概要とステータス
プロダクト | CVE-2021-44228 | ステータスの修正 | 修正する Release 1) | CVE-2021-45046 / CVE-2021-45105 | ステータスの修正 | 修正する Release 2) | アップグレードする方法 | ||
---|---|---|---|---|---|---|---|---|---|
ApplicationInsights | 脆弱-修正可能 | released | 1.6.3 | 脆弱-修正可能 | released | 1.6.3 | アップグレード ApplicationInsights (≥v1.5.1) | ||
ConnectionsExpert 2.x | 脆弱-修正可能 | released | 2.1.3 | 脆弱-修正可能 | released | 2.1.3 | アップグレード ConnectionsExpert (> v2.0) | ||
ConnectionsExpert 3.x | 脆弱-修正可能 | released | 3.1.3 | 脆弱-修正可能 | released | 3.1.3 | アップグレード ConnectionsExpert (> v2.0) | ||
GreenLight | 脆弱-修正可能 | released | 4.5.0 | 脆弱-修正可能 | released | アップグレード GreenLight -> = 3.5.xの場合のみ | |||
iDNA | 脆弱-修正可能 | released | 2.11.1 | 脆弱-修正可能 | released | 2.11.1 | サポートに連絡してください-すべてのお客様はに移行する必要があります iDNA Applications 既に。 | ||
iDNA Applications | 脆弱-修正可能 | released | 2.1.2 | 脆弱-修正可能 | released | 2.2.1 | アップグレード iDNA Applications | ||
MarvelClient | 安全な | 安全な | |||||||
OfficeExpert | 脆弱-修正可能 | released | 4.3.3 | 脆弱-修正可能 | released | 4.3.3 | アップグレード OfficeExpert | ||
メタベースの脆弱性 3) | メタベースを待っています | 4.3.4 | |||||||
OfficeExpert EPM | 安全な | 安全な | |||||||
SecurityInsider / グループエクスプローラー | 安全な | 安全な | |||||||
スマートチェンジャー | 安全な | 安全な | |||||||
Document Properties プラグイン | 安全な | 安全な | |||||||
LogViewerプラグイン | 安全な | 安全な | |||||||
ネットワークモニタープラグイン | 安全な | 安全な | |||||||
PrefTree プラグイン | 安全な | 安全な | |||||||
Tabzilla プラグイン | 安全な | 安全な | |||||||
Timezone Helper プラグイン | 安全な | 安全な |
1)修正 releaseこの列のsは、独自のコードとMetabaseの両方でCVE-2021-44228に対応しています。
2)修正 releaseこの列のsは、CVE-2021-45046およびCVE-2021-45105に対応しています。 場合によっては、古い修正でコードの問題が解決される場合に別の行がありますが、そこで修正するには、更新されたMetabaseバージョンを使用した新しい修正が必要です。 3)も参照してください。
3)私たちが release メタベースが更新されたバージョン release、以下の「メタベースについて」の情報ボックスを参照してください。
メタベースについて
MetabaseにはLog4jが含まれており、 CVE-2021-44228。 最初の修正では、Metabase 0.40.7(Log4j 2.15.0を含み、リモートコード実行の悪用から保護します)に更新します。 Releaseこの修正を加えたものは、上の表の左側にあります。 (でマークされた列 1) )
最近発見された CVE-2021-45046 Log4j 2.16.0、およびさらに新しいものが必要です CVE-2021-45105 2.17.0が必要です。 両方のCVEは独自のコードで修正されています(release でマークされた列に 1) )、しかし私たちはメタベースを待っています release これには次の2.17.0が含まれます release.
それまでは、 release これでコードの問題が修正され、手動でメタベースがオフになります。
- sshまたはパテでアプライアンスに接続します
GreenLight:
docker stop gl_metabase
OfficeExpert & iDNA Applications:
Dockerストップ panagenda_メタベース
今、何が起きた? 私は何をする必要がありますか?
影響を受ける製品を更新する必要があります。 release表の左側にあるs(でマークされた列 1) )は、より深刻なCVEからユーザーを保護するための重要な更新であり、できるだけ早く適用する必要があります。 最後 release Metabaseのそれほど深刻ではない問題を修正する作業が進行中です。
当社のサービスおよびサポートチームは、すべてのお客様に連絡を取り、質問に回答し、必要に応じて支援します。 リクエストや質問をに送信してください サポートpanagenda.COM
この投稿は、利用可能になり次第、より多くの情報で更新していきます。