Présentation de la vulnérabilité Apache Log4j
Vulnérabilités Apache Log4j (CVE-2021-44228) a été publié. On estime qu'un tiers des serveurs dans le monde seront concernés (selon WBS du 15/12).
Dans un système qui génère les valeurs et les informations saisies par l'utilisateur dans un journal, si un utilisateur externe malveillant attaque, du code à distance peut être exécuté.
Bien que des contre-mesures aient été prises depuis le 15/12, nous recevons des informations de l'IPA et d'autres sources selon lesquelles des mesures supplémentaires sont nécessaires chaque jour, ce qui prête à confusion. En plus de mettre à jour Log4j vers la dernière version, nous avons entièrement implémenté toutes les contre-mesures, y compris la suppression de la classe JndiLookup, qui est la cause première, du chemin de classe.
Produits concernés et réponse
Bureau Chat&Messenger, application Web, application mobile
Aucun impact (pas d'utilisation de la bibliothèque correspondante y compris les versions antérieures)
Serveur CAM sur site
Serveur CAM sur site Démarrer le serveur vidéoOui, si vous l'êtes.
Il existait une dépendance à la bibliothèque correspondante sur le serveur vidéo de la conférence Web, mais le processus de sortie des informations utilisateur dans le journal n'est pas applicable. Nous avons déjà informé le personnel du système et fournirons une assistance pour les mises à niveau de version et d'autres supports.
Serveur cloud Chat&Messenger
Il existait une dépendance à la bibliothèque correspondante sur notre serveur vidéo de conférence Web cloud, mais le processus de sortie des informations utilisateur dans le journal n'est pas applicable.
Les mises à jour ont été reflétées sur le serveur vidéo le 14/12.