Une faille critique dans la bibliothèque Java Log4j très répandue, appelée Log4Shell, entraîne une situation de menace très critique selon l'Office fédéral allemand de la sécurité des technologies de l'information (BSI).
Les produits de VertiGIS (UT Bausauskunft, UT Integrator, ...) sont également concernés par la faille de Log4j. VertiGIS travaille à la résolution du problème et à la mise à disposition à court terme de mises à jour de sécurité. En attendant, nous recommandons à nos clients de mettre en œuvre les mesures de défense recommandées par le BSI. En outre, les capacités de détection et de réaction devraient être augmentées à court terme afin de pouvoir surveiller correctement les systèmes concernés.
Entre-temps une autre vulnérabilité a été publiée pour Log4J CVE-2021-45105. Celle-ci est indépendante de la thématique précédente et n'est pas non plus aussi grave. Il est néanmoins recommandé de passer à Log4J 2.17, dans lequel ce problème est résolu. Nous avons donc vérifié l'utilisation de Log4J 2.17 avec nos produits et n'avons constaté aucun problème.
Veuillez suivre cet article pour être informé des dernières informations.
Produits non concernés:
- UT Desktop Suite (UT Editor, UT Asset Manager, ...)
- UT Server Suite (mais ArcGIS Server comme produit de base voir ci-dessous)
- UT WebApp
- Plot / WMPS
WMPS utilise Log4J 1.2. Cette version n'est pas directement concernée par CVE-2021-44228.
Cependant, une vulnérabilité similaire, CVE-2021-4104, existe pour Log4J 1.2, mais elle ne se manifeste que dans une configuration particulière qui n'est pas utilisée par défaut dans WMPS. WMPS n'est donc normalement pas affecté par CVE-2021-4104.
Pour s'en assurer, nous recommandons d'examiner le fichier de configuration log4j.properties, qui ne doit pas contenir la chaîne de caractères suivante :
log4j.appender.jms=org.apache.log4j.net.JMSAppender
Si cette chaîne de caractères est tout de même présente, nous recommandons de la supprimer et de redémarrer Apache Tomcat.
Produits concernés:
- UT CBYD
Instructions d'action pour UT CBYD:
- Télécharger les bibliothèques Log4J fournies (Log4J_2.17.0.zip)
- Arrêter le Tomcat
- Remplacez chacun des fichiers suivants dans ...\BauAuskunftUrm\WEB-INF\lib et dans ...\BauAuskunftService\WEB-INF\lib par les fichiers de la version 2.17.0 dans le téléchargement
- log4j-api-2.11.0.jar
- log4j-core-2.11.0.jar
- log4j-web-2.11.0.jar
- Redémarrez Tomcat
-
UT CBYD URM utilise Log4J 1.2. Cette version n'est pas directement concernée par CVE-2021-44228.
Cependant, une vulnérabilité similaire, CVE-2021-4104, existe pour Log4J 1.2, mais elle ne se manifeste que dans une configuration particulière qui n'est pas utilisée par défaut dans UT CBYD URM. UT CBYD URM n'est donc normalement pas affecté par CVE-2021-4104.
Pour s'en assurer, nous recommandons d'examiner le fichier de configuration log4j.properties, qui ne doit pas contenir la chaîne de caractères suivante :
log4j.appender.jms=org.apache.log4j.net.JMSAppender
Si cette chaîne de caractères est tout de même présente, nous recommandons de la supprimer et de redémarrer Apache Tomcat.
- Télécharger les bibliothèques Log4J fournies (Log4J_2.17.0.zip)
-
Instructions d'action pour UT AppConnector:
-
- Téléchargez les bibliothèques Log4J fournies (Log4J_2.17.0.zip).
- Arrêter le Tomcat
- Remplacez respectivement dans WEB-INF/lib les fichiers suivants par les fichiers de la version 2.17.0 dans le téléchargement
- log4j-api-2.8.0.jar
- log4j-core-2.8.0.jar
- log4j-web-2.8.0.jar
- log4j-1.2-api-2.8.0.jar
- Redémarrez Tomcat
- Téléchargez les bibliothèques Log4J fournies (Log4J_2.17.0.zip).
-
- UT Integrator
Instructions d'action pour UT Integrator:
- Télécharger les bibliothèques Log4J fournies (Log4J_2.17.0.zip)
- Arrêter le Tomcat
- Remplacez respectivement dans [TOMCAT]webapps/utpostserver/web-inf/lib les fichiers suivants par les fichiers relatifs à la version 2.17.0 dans le téléchargemen
- log4j-api-2.x.x.jar
- log4j-core-2.x.x.jar
- log4j-web-2.x.x.jar
- Redémarrez Tomcat
- Télécharger les bibliothèques Log4J fournies (Log4J_2.17.0.zip)
-
-
Les librairies log4j sont également incluses dans le fichier SOE de l'intégrateur UT. Nous contacterons directement les clients concernés par une mise à jour du SOE. Nous recommandons de protéger le service de cartographie dans ArcGIS Server avec le SOE de l'UT Integrator par un utilisateur/mot de passe. L'authentification doit alors être saisie en conséquence dans UT Integrator :
-
Remarques sur les produits partenaires :
- Esri :
En ce qui concerne la technologie de base ArcGIS, VertiGIS recommande l'article officiel d'Esri Inc :
ArcGIS Software and CVE-2021-44228 (esri.com)
Remarque
Cet article d'Esri Inc. est mis à jour en permanence et VertiGIS recommande de vérifier régulièrement cette contribution.
ArcGIS 10.7.1 (Enterprise et Server standalone) et les versions antérieures sont potentiellement vulnérables et des analyses supplémentaires sont en cours chez Esri Inc. pour déterminer la vulnérabilité.
En outre, Esri Inc. recommande désormais "Out of an abundance of caution" (par pure précaution) que certains scripts soient également exécutés sur les installations ArcGIS 10.8.1 actuelles. Plus d'informations à ce sujet dans l'article du blog ArcGIS.
Il est vivement recommandé aux clients utilisant des versions d'ArcGIS susceptibles d'être vulnérables de prendre immédiatement des mesures de défense complètes pour tous les systèmes connectés à Internet ou pour tout autre système vulnérable.
Esri Inc. mettra à disposition dès que possible des correctifs pour les versions concernéeEsri a créé des scripts d'atténuation Log4Shell qu'il est fortement recommandé d'appliquer à toutes les installations d'ArcGIS Enterprise et d'ArcGIS Server, quelle que soit la version du logiciel.
Informations détaillées:
- ArcGIS Server – Comprend également des mesures d'atténuation pour ArcGIS GeoEvent Server
- Portal for ArcGIS
- ArcGIS Data Store
Esri a commencé à fournir des correctifs pour les produits concernés. La mise à disposition suivra pour d'autres produits et versions. Vous trouverez ici un aperçu des correctifs déjà publiés et à venir:
https://support.esri.com/en/download/7964
Veuillez vérifier régulièrement que cet article n'a pas été mis à jour. Veuillez également consulter les informations complémentaires d'Esri sur les patches.
ArcGIS Enterprise Log4j Security Patches Available
- Baral:
Vulnérabilité critique publiée dans log4j (CVE-2021-44228) dans le contexte des produits Baral
- CADMAP:
Informations générales
Espace client
Mise à jour 1:13.12.2021:
- Liste des produits concernés et non concernés
- Remarques sur UT CBYD, UT AppConnector et UT Integrator
- Remarques sur les produits partenaires
Mise à jour 2: 14.12.2021:
- Mise à jour du lien BSI
Mise à jour 3 : 14.12.2021
- Indices de mise à jour UT CBYD
Mise à jour 4 : 15.12.2021
- Remarques sur UT CBYD, UT AppConnector et UT Integrator - Mise à jour à 2.16
- Remarques sur les produits de CADMAP
Mise à jour 5 : 16.12.2021
- Mise à jour pour Esri
Mise à jour 6 : 17.12.2021
- Remarques sur Plot/WMPS
- Remarques sur UT CBYD URM
- Mise à jour des notes UT Integrator
Mise à jour 7 : 21.12.2021
- Mise à jour concernant CVE-2021-45105
Mise à jour 8 : 15.02.2022
- Esri a commencé à fournir des correctifs
Commentaires
2 commentaires
Mise à jour 7 : 21.12.2021
Mise à jour 8 : 15.02.2022
Vous devez vous connecter pour laisser un commentaire.