Les informations suivantes proviennent d'une notification de la société Baral datée du 15.12.2021.
https://www.baral-geohaus.de/content/wichtiger-sicherheitshinweis-zu-log4shell-update
Log4j2.16.0 est désormais en circulation. Voici quelques informations à ce sujet :
- L'utilisation de Log4j 2.15.0 est suffisante pour WebGEN et WebNAV, car nous n'utilisons pas la configuration sous laquelle 2.15.0 ne comble pas complètement la lacune.
- Log4j 2.16.0 peut être utilisé sans problème avec WebGEN et WebNAV (y compris SOLR).
Les informations suivantes proviennent d'une notification de la société Baral datée du 13.12.2021.
https://www.baral-geohaus.de/content/wichtiger-sicherheitshinweis-zu-log4shell/
Cette notification contient des informations importantes et des instructions pour agir concernant le logiciel BARAL et la vulnérabilité critique dans log4j2.
Aussi connu sous le nom de CVE-2021-44228, Log4Shell
BARAL utilise également les versions de Log4j2 concernées par la vulnérabilité (https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.pdf?__blob=publicationFile&v=6) dans certains de ses produits.
Vous trouverez ci-dessous une vue d'ensemble et des instructions concrètes sur la manière d'utiliser les produits concernés.
En cas d'incertitude ou de doute, nous recommandons de déconnecter l'application (en particulier les applications disponibles sur Internet) du réseau.
Les applications suivantes sont concernées :
- Web GEN
- Web NAV (à partir de >= 15.0)
- SOLR
Instructions d'action pour Web GEN et Web NAV :
Téléchargez les bibliothèques Log4J actuelles https://portal.baral-geohaus.de/public/software/Log4J_2.15.0.zip
- Arrêter Tomcat
- Remplacez respectivement dans WEB-INF/lib les fichiers log4j-api-2.XX.XX.jar, log4j-core-2.XX.XX.jar par les fichiers dans le téléchargement
- Redémarrer Tomcat
Instructions d'action pour SOLR :
SOLR est une application Thrid-Party qui est utilisée dans le contexte de Web NAV. Pour vous en assurer, procédez comme suit :
- Téléchargez les bibliothèques Log4J actuelles https://portal.baral-geohaus.de/public/software/Log4J_2.15.0_SOLR.zip
- Arrêter le SOLR
- Remplacez à chaque fois dans
- \contrib\prometheus-exporter\lib\
- \server\lib\ext\
- les fichiers log4j-api-2.XX.XX.jar, log4j-core-2.XX.XX.jar, log4j-1.2-api-2.XX.XX.jar et log4j-slf4j-impl-2.XX.XX.jar par les fichiers du téléchargement
- Redémarrez le SOLR
Si vous avez des questions ou des problèmes, contactez votre responsable de compte.
Les applications suivantes ne sont pas concernées mais contiennent la bibliothèque correspondante :
UTJSC - UT JavaScript Client
Recommandation d'action
- Arrêtez le Tomcat
- Supprimez respectivement dans WEB-INF/lib le log4j-api-2.XX.XX.jar, log4j-core-2.XX.XX.jar
- Redémarrez Tomcat.
Les applications suivantes ne sont pas concernées :
- Access Filter
- APAK - Renseignements automatisés sur les constructions
- BARAL StreetSmart PlugIn
- Web CODI
Veuillez noter que le logiciel ESRI utilisé en relation avec notre logiciel peut également être concerné par le problème : https://www.esri.com/arcgis-blog/products/arcgis-enterprise/administration/arcgis-software-and-cve-2021-44228-aka-log4shell-aka-logjam/
ESRI y écrit que les versions ArcGIS Enterprise/ArcGIS Server < 10.8 sont concernées par le problème.
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.