Что произошло?
Недавно критическая уязвимость (CVE-2021-44228) был обнаружен в библиотеке Apache Log4j. Эта уязвимость может быть использована удаленно без аутентификации и позволяет выполнять удаленный код. Он занимает 10 из 10 на уровне серьезности CVSS. Это в значительной степени подожгло мир. Вы можете узнать больше о том, что произошло здесь и обзор с дополнительными ссылками здесь.
Обнаружены новые уязвимости (CVE-2021-4104, CVE-2021-45046), информацию о них можно найти ниже.
Находятся panagenda затронуты продукты?
Да. CVE-2021-44228 затрагивает несколько наших продуктов.
Обновление 2021-12-14: Обнаружена еще одна уязвимость, связанная с Log4j: CVE-2021-4104. Ни один из наших продуктов не уязвим для этой новой CVE.
Обновите 2021-12-15: Третья уязвимость, CVE-2021-45046, было обнаружено. Некоторые из наших продуктов уязвимы. Этот CVE классифицируется только как 3.7 из 10 и может использоваться только для выполнения атаки DOS (отказ в обслуживании).
Обновление 2021 декабря 12 г. Уровень серьезности вышеописанной CVE-17-2021 теперь повышен до 45046, а также разрешено удаленное выполнение кода. Тем не менее, Metabase говорит, что они не используют конфигурации, отличные от стандартных, что делает его безопасным.
Обновление 2021-12-19: Сообщалось о другом эксплойте Log4j: CVE-2021-45105. Apache классифицирует его как 7.5, его можно использовать для выполнения DOS-атаки.
После того, как была опубликована первая уязвимость, мы сразу же начали проверять все наши продукты на ее подверженность. Как и следовало ожидать, многие из наших продуктов используют Log4j (или включают сторонние компоненты, которые его используют), поэтому они уязвимы и нуждаются в обновлении.
- ApplicationInsights, ConnectionsExpert, иДНК и iDNA Applications используйте некоторый Log4j напрямую. Начиная с версий, указанных в столбце «Исправить Release 1)"мы полностью удалим Log4j, чтобы решить эту проблему и надежноevent любые дальнейшие вопросы.
- GreenLight, iDNA Applications, и OfficeExpert включить метабазу, которая использует Log4j. Мы обновим версию метабазы во всех этих продуктах до безопасной. release.
Обзор и статус
| Продукт | CVE-2021-44228 | Исправить статус | фиксированный Release 1) | CVE-2021-45046/CVE-2021-45105 | Исправить статус | фиксированный Release 2) | Как обновить | ||
|---|---|---|---|---|---|---|---|---|---|
| ApplicationInsights | уязвимый - доступно исправление | released | 1.6.3 | уязвимый - доступно исправление | released | 1.6.3 | модернизация ApplicationInsights (≥ v1.5.1) | ||
| ConnectionsExpert 2.x | уязвимый - доступно исправление | released | 2.1.3 | уязвимый - доступно исправление | released | 2.1.3 | модернизация ConnectionsExpert (> v2.0) | ||
| ConnectionsExpert 3.x | уязвимый - доступно исправление | released | 3.1.3 | уязвимый - доступно исправление | released | 3.1.3 | модернизация ConnectionsExpert (> v2.0) | ||
| GreenLight | уязвимый - доступно исправление | released | 4.5.0 | уязвимый - доступно исправление | released | Модернизация GreenLight - только для >=3.5.x | |||
| иДНК | уязвимый - доступно исправление | released | 2.11.1 | уязвимый - доступно исправление | released | 2.11.1 | Обратитесь в службу поддержки - все клиенты должны быть перенесены на iDNA Applications уже. | ||
| iDNA Applications | уязвимый - доступно исправление | released | 2.1.2 | уязвимый - доступно исправление | released | 2.2.1 | Модернизация iDNA Applications | ||
| MarvelClient | безопасный | безопасный | |||||||
| OfficeExpert | уязвимый - доступно исправление | released | 4.3.3 | уязвимый - доступно исправление | released | 4.3.3 | Модернизация OfficeExpert | ||
| Уязвимость метабазы 3) | ждем метабазы | 4.3.4 | |||||||
| OfficeExpert EPM | безопасный | безопасный | |||||||
| SecurityInsider / GroupExplorer | безопасный | безопасный | |||||||
| смартчейнджер | безопасный | безопасный | |||||||
Document Properties Плагин | безопасный | безопасный | |||||||
| Плагин LogViewer | безопасный | безопасный | |||||||
| Плагин сетевого монитора | безопасный | безопасный | |||||||
| PrefTree Плагин | безопасный | безопасный | |||||||
| Tabzilla Плагин | безопасный | безопасный | |||||||
| Timezone Helper Плагин | безопасный | безопасный |
1) Исправление releases в этой колонке адрес CVE-2021-44228 как в нашем собственном коде, так и в Metabase.
2) Исправление releases в этом столбце адрес CVE-2021-45046 и CVE-2021-45105. В некоторых случаях существуют отдельные строки для тех случаев, когда старое исправление решает проблему в нашем коде, но для ее исправления требуется более новое исправление с обновленной версией метабазы. См. также 3).
3) Для снижения любого оставшегося риска до тех пор, пока мы release версия с обновленной метабазой release, см. информационное поле «Относительно метабазы» ниже.
Что касается метабазы
Метабаза включает Log4j и уязвима для CVE-2021-44228. В качестве первого исправления мы обновляем метабазу до версии 0.40.7 (которая включает Log4j 2.15.0 и защищает от эксплойта удаленного выполнения кода). Releases с этим исправлением можно найти в левой части таблицы выше. (колонка отмечена 1) )
Более недавно обнаруженный CVE-2021-45046 требуется Log4j 2.16.0 и даже более поздняя CVE-2021-45105 требуется 2.17.0. Оба CVE исправлены в нашем собственном коде (release в столбце, отмеченном 1) ), но ждем Метабазу release который включает 2.17.0 для нашего следующего release.
А пока можно идти с release это устраняет проблему в нашем коде и вручную отключает метабазу:
- Подключитесь к устройству с помощью ssh или putty
Для GreenLight:
докер остановить gl_metabase
Для OfficeExpert и iDNA Applications:
докер стоп panagenda_метабаза
Что происходит сейчас? Что мне нужно сделать?
Вам потребуется обновить все затронутые продукты. Наблюдения и советы этой статьи мы подготовили на основании опыта команды releases в левой части таблицы (столбец, отмеченный 1) ) являются важным обновлением для защиты от более серьезных CVE и должны быть применены как можно скорее. Последний release для исправления менее серьезных проблем в метабазе находится в разработке.
Наши группы обслуживания и поддержки связываются со всеми нашими клиентами, чтобы ответить на вопросы и помочь в случае необходимости. Пожалуйста, присылайте запросы и вопросы на Поддержка @panagenda.com
Мы будем обновлять этот пост, добавляя дополнительную информацию по мере ее появления.