Note : OPSWAT continue à mettre à jour ce billet de blog avec des informations supplémentaires au fur et à mesure qu'elles sont disponibles.
Mise à jour - Dec. 24, 2021 - 12:30 PM EST
Alors que nous continuons à surveiller les mises à jour et les développements entourant CVE-2021-44228, nous sommes conscients des récentes orientations décrites dans CVE 2021-45105 qui indiquent que les versions 2.0-alpha1 à 2.16.0 (à l'exception de 2.12.3) d'Apache Log4j2 peuvent ne pas protéger contre la récursion incontrôlée des recherches autoréférentielles, ce qui pourrait entraîner un déni de service.
À l'heure actuelle, nous ne pensons pas que cette mise à jour modifie les mesures d'atténuation actuellement publiées ou communiquées concernant la CVE 2021-44228.
Si des changements surviennent ou si notre évaluation change, nous continuerons d'en informer le public par le biais du blog.
Si vous avez d'autres questions ou préoccupations, n'hésitez pas à nous contacter par l'intermédiaire de l'un de nos canaux d'assistance.
Mise à jour - Dec. 15, 2021 - 17 HEURES (HEURE DE PARIS)
Alors que nous continuons à surveiller les mises à jour et les développements concernant CVE-2021-44228, nous sommes conscients des conseils récents énoncés dans CVE 2021-45046 qui aborde la correction incomplète pour Apache log4j 2.15.0 dans certaines configurations autres que celles par défaut.
À l'heure actuelle, nous ne pensons pas que cela modifie les mesures d'atténuation actuellement publiées concernant CVE 2021-44228.
Si des changements surviennent ou si notre évaluation change, nous continuerons à les notifier via le blog.
Si vous avez d'autres questions ou préoccupations, n'hésitez pas à nous contacter par l'intermédiaire de l'un de nos canaux d'assistance.
Mise à jour - 14 décembre 2021 - 14h00 EST
OPSWAT a effectué une analyse complète de tous les produits OPSWAT susceptibles d'être affectés par la vulnérabilité de log4j et n'a identifié aucune exposition susceptible d'avoir une incidence sur l'utilisation en toute sécurité des produits ou services OPSWAT .
Les recommandations ou configurations de produits ont été communiquées aux clients de MetaDefender Access Cloud, My OPSWAT et MetaDefender NAC et mises à jour sur ce blog. Aucune recommandation ou configuration de produit n'est applicable à nos autres produits pour le moment.
Si vous avez d'autres questions ou préoccupations, n'hésitez pas à nous contacter par l'intermédiaire de l'un de nos canaux d'assistance.
Mise à jour - 13 décembre 2021 - 17 heures HNE
Nous avons passé en revue toutes les technologies et tous les paquets OPSWAT afin de déterminer si l'un d'entre eux est potentiellement vulnérable à cet exploit.
Nous avons découvert que My OPSWAT (OCM) utilise la bibliothèque Apache log4j comme l'une de ses dépendances - mais il est important de noter que OPSWAT n'a pas identifié d'exposition à la vulnérabilité log4j qui aurait un impact sur l'utilisation en toute sécurité des produits ou services OPSWAT à l'heure actuelle.
Nous recommandons aux clients qui utilisent laversion 7.16 ou antérieure d'OCM de passer à la version 7.17 ou à une version plus récente, et d'appliquer un changement de configuration recommandé pour atténuer cet exploit spécifique et d'autres qui pourraient cibler les capacités log4j liées à JNDI à l'avenir . Les instructions de modification de la configuration d'atténuation se trouvent dans cet article de la base de connaissances.
Si vous avez des questions spécifiques, veuillez ouvrir un dossier d'assistance et nous en faire part dans notre portail client.
En cas de changement, de modification de l'évaluation, nous continuerons à vous informer par courrier électronique et sur notre blog.
Mise à jour - 13 décembre 2021 - 12 heures EST
Depuis notre précédente mise à jour du 12 décembre 2021, relative aux mesures que nous prenons concernant la vulnérabilité CVE-2021-44228 également connue sous le nom de log4j, nous avons examiné activement toutes les technologies et tous les paquets OPSWAT afin de déterminer si l'un d'entre eux est potentiellement vulnérable à cet exploit.
Voici les mesures que nous avons déjà prises pour atténuer les risques liés à l'exploit log4j :
- MetaDefender Access Cloud: En raison de la vulnérabilité zero-day découverte dans la bibliothèque de journalisation Apache log4j qui permet aux attaquants de prendre le contrôle des serveurs vulnérables (CVE-2021-44228), nous avons, par excès de prudence, appliqué un changement de configuration recommandé qui réduira la possibilité de cet exploit spécifique et d'autres qui pourraient cibler les capacités Log4j liées à JNDI à l'avenir. Aucune autre action n'est requise de la part de nos clients. Cette opération a été réalisée sans impact sur les utilisateurs.
Si nous déterminons qu'une autre technologie ou un autre paquet OPSWAT pourrait être vulnérable, nous en informerons tous les clients concernés et leur indiquerons les changements de configuration ou les mises à jour nécessaires.
Il est important de noter qu'au moment de cette mise à jour, OPSWAT n'a pas identifié d'exposition à la vulnérabilité log4j qui pourrait avoir un impact sur l'utilisation en toute sécurité des produits ou services OPSWAT .
Si cette évaluation devait changer, nous informerions directement les clients concernés.
Si vous souhaitez en savoir plus sur cette vulnérabilité spécifique, outre l'article du NIST, le SANS Internet Storm Center a publié un aperçu complet à l'adresse suivante : SANS Internet Storm Center. Nous fournirons une mise à jour de notre évaluation à 17 h 00 (heure de l'Est).
Mise à jour - 12 décembre 2021 - 21:45 EST
Le vendredi 10 décembre 2021, nous avons appris, avec le reste de la communauté technologique, l'exploitation active d'une vulnérabilité zero-day inconnue jusqu'alors(CVE-2021-44228) dans un composant courant des logiciels basés sur Java, appelé log4j.
Depuis la notification, nous examinons activement toutes les technologies et tous les paquets OPSWAT afin de déterminer si l'un d'entre eux est potentiellement vulnérable à cet exploit. Sachez que cet examen se poursuit et que si nous déterminons qu'une technologie ou un paquet OPSWAT est potentiellement vulnérable, nous en informerons tous les clients concernés et leur indiquerons les changements de configuration ou les mises à jour nécessaires.
Nous procédons à cet examen aussi rapidement que possible. Il est important de noter qu'à ce jour, OPSWAT n'a pas évalué d'exposition matérielle à la vulnérabilité log4j qui aurait un impact sur l'utilisation en toute sécurité des produits OPSWAT . Si cette évaluation devait changer, nous informerions directement les clients concernés.
Nous fournirons une mise à jour de notre évaluation le 13 décembre à 12h00 (heure de l'Est). Si vous avez d'autres questions ou préoccupations que vous souhaitez aborder d'ici là, n'hésitez pas à nous contacter via l'un de nos canaux d'assistance.
Si vous souhaitez en savoir plus sur cette vulnérabilité spécifique, outre l'article du NIST, le SANS Internet Storm Center a publié un aperçu complet à l'adresse suivante : SANS Internet Storm Center.
Nous vous remercions de votre confiance et de votre partenariat !
