Aller au contenu principal

Log4j vulnérabilité CVE-2021-44228 dans le contexte WebOffice

Mise à jour

Une faille critique dans la bibliothèque Java Log4j largement utilisée, appelée Log4Shell, entraîne une situation de menace très critique, selon l'Office fédéral allemand de la sécurité des technologies de l'information (Bundesamts für Sicherheit in der Informationstechnik BSI). 

Les produits de VertiGIS sont également concernés par la faille de Log4j. VertiGIS travaille à la résolution du problème et à la mise à disposition à court terme de mises à jour de sécurité. En attendant, nous recommandons à nos clients de mettre en œuvre les mesures de défense recommandées par le BSI. En outre, les capacités de détection et de réaction devraient être augmentées à court terme afin de pouvoir surveiller de manière adéquate les systèmes concernés.

 

Veuillez suivre ce post pour être informé des dernières informations.

 

VertiGIS recommande actuellement pour toutes les versions de WebOffice supportées (10.8 & 10.9) une mise à jour vers le dernier patch collectif du 20.12.2021 ainsi que l'installation de la dernière application d'index FTS (build 8.11.1). Ces composants peuvent être téléchargés ici :

 

Pour toutes les applications ou états de patch plus anciens, les étapes ci-dessous doivent être suivies.

 

VertiGIS examine actuellement les conséquences de la faille de sécurité CVE-2021-44228 dans la bibliothèque Log4j, qui a été annoncée le 9 décembre 2021, en ce qui concerne l'application WebOffice et les composants associés de haute priorité et informe par la présente de l'état actuel :

 

1. Technologie de base ArcGIS
En ce qui concerne la technologie de base ArcGIS, VertiGIS recommande l'article officiel d'Esri Inc :

ArcGIS Software and CVE-2021-44228 (esri.com)

 

Remarque

Cet article d'Esri Inc. est actualisé constamment et VertiGIS recommande de vérifier régulièrement cet article.

 

ArcGIS 10.7.1 (Enterprise et Server standalone) et les versions antérieures sont potentiellement à risque et des analyses supplémentaires sont en cours chez Esri Inc. pour déterminer la vulnérabilité.

En outre, Esri Inc. recommande désormais "Out of an abundance of caution" (par pure précaution) que certains scripts soient également exécutés sur les installations actuelles d'ArcGIS 10.8.1. Plus d'informations à ce sujet dans l'article du blog ArcGIS.

Il est vivement recommandé aux clients qui utilisent des versions d'ArcGIS potentiellement à risque de prendre immédiatement des contre-mesures complètes pour tous les systèmes connectés à Internet ou pour tout autre système vulnérable.
Esri Inc. mettra à disposition dès que possible des correctifs appropriés pour les versions concernées.

 

2. Servlet Engine Apache Tomcat
En ce qui concerne le Servlet Engine Apache Tomcat, VertiGIS recommande de consulter la page officielle sur les vulnérabilités d'Apache Tomcat 9.x :

Apache Tomcat® - Apache Tomcat 9 vulnerabilities

Les versions de Tomcat actuellement supportées (8.5.x, 9.0.x, 10.0.x et 10.1.x) ne dépendent pas d'une version de log4j.

Dans une installation standard d'Apache Tomcat, il n'y a normalement pas de fichier Log4j dans le répertoire Tomcat\lib. Si elle s'y trouve, elle n'a pas été placée là lors d'une installation Tomcat standard ou lors d'une installation WebOffice.

 

3. Serveur d'application WebOffice
L'analyse effectuée par le développement de WebOffice a montré que l'application WebOffice n'est pas affectée par la vulnérabilité, car le serveur d'application WebOffice utilise une autre version de Log4j, qui n'est pas affectée par cette vulnérabilité.

 

4. Recherche plein texte WebOffice (index FTS)
Concernant la recherche plein texte WebOffice (FTS-Index), VertiGIS recommande de consulter l'article officiel de la part d'Apache Solr :

Solr™ Security News - Apache Solr

 

C'est pourquoi VertiGIS recommande actuellement une adaptation manuelle de l'application de recherche plein texte jusqu'à ce qu'une mise à jour de sécurité officielle soit diffusée.

 

Remarque

Avec la configuration du filtre IP recommandée, il n'y avait pas non plus de risque avant l'adaptation d'Apache Solr.

 

Étapes nécessaires à l'adaptation de l'application de recherche plein texte:

  • Arrêter le service Windows WebOffice FTS-Index (port 8983)
  • Modifier le fichier solr.in.cmd (qui se trouve dans le répertoire d'installation de WebOffice FTS-Index, exemple de chemin : .\Program Files (x86)\VertiGIS\WebOffice FTS-Index\bin\solr.in.cmd) en ajoutant la ligne suivante :
set SOLR_OPTS=%SOLR_OPTS% -Dlog4j2.formatMsgNoLookups=true

blobid0.png

 

  • Dans un explorateur de fichiers, allez dans le répertoire WebOffice FTS-Index de votre installation WebOffice FTS-Index (exemple de chemin : C:\Program Files (x86)\VertiGIS\WebOffice FTS-Index).
  • Dans le sous-répertoire server\lib\ext, remplacez les fichiers suivants - s'ils existent - par les fichiers mis à jour correspondants (lien de téléchargement via Apache Software Foundation), en supprimant les fichiers existants et en copiant les nouveaux fichiers dans le répertoire :
  • log4j-api-2. XX.XX.jar par log4j-api-2.17.x.jar
  • log4j-core-2.XX.XX.jar par log4j-core-2.17.x.jar
  • log4j-1.2-api-2.XX.XX.jar par log4j-1.2-api-2.17.x.jar
  • log4j-slf4j-impl-2.XX.XX.jar par log4j-slf4j-impl-2.17.x.jar
  • log4j-web-2.XX.XX.jar par log4j-web-2.17.x.jar
    mceclip0.png
  • Après ces adaptations, il faut redémarrer le service Windows WebOffice FTS-Index (port 8983).

Perspectives
Après la publication d'un patch officiel pour le framework Solr, VertiGIS mettra à disposition une version actualisée de WebOffice FTS-Index en téléchargement.

 

Remarque

De manière générale, VertiGIS recommande de maintenir tous les logiciels (Windows, ArcGIS, Java, Tomcat, WebOffice, ...) à jour.

 

VertiGIS vous tiendra au courant des éventuels autres résultats d'analyse issus du développement de WebOffice.

 

 

Mise à jour 4 - 12.01.2022, 10:45:

  • Section 4. recherche plein texte WebOffice (index FTS)
    • Nouveau lien de téléchargement via Apache Software Foundation pour l'adaptation manuelle des fichiers log4j dans l'application de recherche plein texte 


Mise à jour 3 - 21.12.2021, 09:45:

  • Remarque sur la mise à niveau vers le dernier patch collectif ainsi que sur l'application FTS Index.

 

Mise à jour 2 - 16.12.2021, 09:30:

  • Section 1. Technologie de base ArcGIS
    • Ajout d'une nouvelle remarque
    • Ajout d'une information indiquant qu'un script est désormais disponible auprès d'Esri Inc.

 

Mise à jour 1 - 15.12.2021, 17:00:

  • Section 4. Recherche plein texte (index FTS)
    • Possibilité d'adaptation supplémentaire : remplacement des fichiers log4j dans le répertoire d'installation de WebOffice FTS-Index

 

 

Articles associés

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.