O que aconteceu?
Recentemente, uma vulnerabilidade crítica (CVE-2021-44228) foi descoberto na biblioteca Apache Log4j. Essa vulnerabilidade pode ser explorada remotamente sem autenticação e permite a execução remota de código. Ele classifica 10 de 10 no nível de gravidade CVSS. Ele praticamente incendiou o mundo. Você pode saber mais sobre o que aconteceu SUA PARTICIPAÇÃO FAZ A DIFERENÇA e uma visão geral com mais links SUA PARTICIPAÇÃO FAZ A DIFERENÇA.
Mais vulnerabilidades estão sendo descobertas (CVE-2021-4104, CVE-2021-45046), informações sobre elas podem ser encontradas abaixo.
São panagenda produtos afetados?
Sim. CVE-2021-44228 afeta vários de nossos produtos.
Atualização 2021-12-14: Outra vulnerabilidade relacionada ao Log4j apareceu: CVE-2021-4104. Nenhum de nossos produtos é vulnerável a este novo CVE.
Atualize-2021 12-15: Uma terceira vulnerabilidade, CVE-2021-45046, foi descoberto. Alguns de nossos produtos são vulneráveis. Este CVE é classificado apenas como 3.7 de 10 e só pode ser usado para executar um ataque DOS (denial-of-service).
Atualização 2021-12-17: O CVE-2021-45046 acima agora teve seu nível de gravidade aumentado para 9 e também permite a execução remota de código. Ainda assim, o Metabase diz que não está usando configurações não padrão, o que o torna não vulnerável.
Atualização 2021-12-19: Outra exploração do Log4j foi relatada: CVE-2021-45105. O Apache o classifica como 7.5, ele pode ser usado para executar um ataque DOS.
Após a publicação da primeira vulnerabilidade, começamos imediatamente a verificar todos os nossos produtos quanto à exposição a ela. Como era de se temer, muitos de nossos produtos usam Log4j (ou incluem componentes de terceiros que usam), portanto, são vulneráveis e precisam ser atualizados.
- ApplicationInsights, ConnectionsExpert, DNA, e iDNA Applications use algum Log4j diretamente. Começando com as versões mostradas na coluna "Corrigir Release 1)" vamos remover o Log4j completamente para resolver isso e de forma confiávelevent quaisquer outras questões.
- GreenLight, iDNA Applications e OfficeExpert incluem Metabase que usa Log4j. Atualizaremos a versão Metabase em todos esses produtos para um release.
Visão geral e status
| Produto | CVE-2021-44228 | Status da correção | Fixar Release 1) | CVE-2021-45046 / CVE-2021-45105 | Status da correção | Fixar Release 2) | Como fazer o upgrade | ||
|---|---|---|---|---|---|---|---|---|---|
| ApplicationInsights | vulnerável - correção disponível | liberado | 1.6.3 | vulnerável - correção disponível | liberado | 1.6.3 | Atualizar ApplicationInsights (≥v1.5.1) | ||
| ConnectionsExpert 2.x | vulnerável - correção disponível | liberado | 2.1.3 | vulnerável - correção disponível | liberado | 2.1.3 | Atualizar ConnectionsExpert (> v2.0) | ||
| ConnectionsExpert 3.x | vulnerável - correção disponível | liberado | 3.1.3 | vulnerável - correção disponível | liberado | 3.1.3 | Atualizar ConnectionsExpert (> v2.0) | ||
| GreenLight | vulnerável - correção disponível | liberado | 4.5.0 | vulnerável - correção disponível | liberado | Melhoramento GreenLight - apenas para >=3.5.x | |||
| ADNi | vulnerável - correção disponível | liberado | 2.11.1 | vulnerável - correção disponível | liberado | 2.11.1 | Entre em contato com o suporte - todos os clientes devem ser migrados para iDNA Applications já. | ||
| iDNA Applications | vulnerável - correção disponível | liberado | 2.1.2 | vulnerável - correção disponível | liberado | 2.2.1 | Melhoramento iDNA Applications | ||
| MarvelClient | seguro | seguro | |||||||
| OfficeExpert | vulnerável - correção disponível | liberado | 4.3.3 | vulnerável - correção disponível | liberado | 4.3.3 | Melhoramento OfficeExpert | ||
| Metabase vulnerável 3) | esperando por metabase | 4.3.4 | |||||||
| OfficeExpert EPM | seguro | seguro | |||||||
| SecurityInsider / Explorador de Grupo | seguro | seguro | |||||||
| SmartChanger | seguro | seguro | |||||||
Document Properties Plugin | seguro | seguro | |||||||
| Plug-in LogViewer | seguro | seguro | |||||||
| Plugin do Monitor de Rede | seguro | seguro | |||||||
| PrefTree Plugin | seguro | seguro | |||||||
| Tabzilla Plugin | seguro | seguro | |||||||
| Timezone Helper Plugin | seguro | seguro |
1) A correção releases neste endereço de coluna CVE-2021-44228 tanto em nosso próprio código quanto em Metabase.
2) A correção releases nesta coluna endereço CVE-2021-45046 e CVE-2021-45105. Em alguns casos, há linhas separadas para casos em que a correção mais antiga resolve o problema em nosso código, mas é necessária uma correção mais recente com uma versão atualizada do Metabase para corrigi-la. Veja também 3).
3) Para mitigar qualquer risco remanescente até que release uma versão com a Metabase atualizada release, consulte a caixa de informações "Sobre a Metabase" abaixo.
Sobre a Metabase
Metabase inclui Log4j e é vulnerável a CVE-2021-44228. Para uma primeira correção, atualizamos para o Metabase 0.40.7 (que inclui o Log4j 2.15.0 e protege contra a exploração de execução remota de código). Releases com essa correção podem ser encontrados na parte esquerda da tabela acima. (coluna marcada com 1) )
O mais recentemente descoberto CVE-2021-45046 requer Log4j 2.16.0, e o ainda mais recente CVE-2021-45105 requer 2.17.0. Ambos os CVEs são corrigidos em nosso próprio código (release na coluna marcada com 1) ), mas estamos aguardando a Metabase release que inclui 2.17.0 para nosso próximo release.
Até lá, você pode ir com o release que corrige o problema em nosso código e desativa manualmente o Metabase:
- Conecte-se ao aparelho com ssh ou putty
Escolha GreenLight:
parada do docker gl_metabase
Escolha OfficeExpert e iDNA Applications:
parada do dock panagenda_metabase
O que acontece agora? O que eu preciso fazer?
Você precisará atualizar todos os produtos afetados. A releases na parte esquerda da tabela (coluna marcada com 1) ) são a atualização importante para protegê-lo contra o CVE mais grave e devem ser aplicadas o mais rápido possível. O último release para corrigir problemas menos graves no Metabase está em andamento.
Nossas equipes de serviço e suporte estão entrando em contato com todos os nossos clientes para responder a perguntas e ajudar quando necessário. Envie solicitações e dúvidas para Apoio, suporte@panagenda.com
Continuaremos atualizando este post com mais informações assim que estiverem disponíveis.