PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004
lundi, 13 décembre 2021 20:21
Vulnérabilité Log4j (CVE-2021-44228 et CVE-2021-45046)
Le 9 décembre 2021, la vulnérabilité CVE- 2021-44228 a été divulguée publiquement. Elle impacte plusieurs versions de l'outil Apache Log4j,
Comme de nombreux éditeur, ManageEngine utilise Log4j dans ces différentes applications.
Dans ce billet, nous allons rassembler les informations concernant l'impact de la vulnérabilité Log4Shell sur les différents produits de la gamme ManageEngine.
Remarque : Les procédures de remédiations ont pu évoluer avec l'apparition de la vulnérabilité CVE-2021-45046
Les produits ManageEngine fournis avec un Log4j2 vulnérable :
|
Produit |
Version du Jar fourni dans les packages |
|
ADManager Plus |
V2.11.1 |
|
ADAudit Plus |
V2.10.0 |
|
DataSecurity Plus |
V2.10.0 |
|
EventLog Analyzer |
V2.9.1 |
|
M365 Manager Plus |
V2.11.1 |
|
RecoveryManager Plus |
V2.11.1 |
|
Exchange Reporter Plus |
V2.11.1 |
|
Log360 |
V2.9.1 |
|
Log360 UEBA |
V2.11.1 |
|
Cloud Security Plus |
V2.9.1 |
|
Analytics Plus |
V2.7 |
Veuillez noter que nous n'avons pas identifié de cas exploitables dus à Log4j2 dans les produits ci-dessus car nous n'utilisons pas directement Log4j pour la journalisation. Cependant, certains des tiers que nous utilisons intègrent Log4j2 comme une dépendance. Par conséquent, à titre de mesure de sécurité supplémentaire, les clients sont invités à appliquer les mesures d'atténuation énumérées ci-dessous :
-
ADManager Plus (maj 15/12/2021 pour CVE-2021-45046) - la build 7122 apporte des mesures de précaution pour se protéger contre la vulnérabilité sur Log4j.
-
ADAudit Plus (maj 15/12/2021 pour CVE-2021-45046) - maj de la lib lib4j dans la build 7008
-
EventLog Analyzer (maj 16/12/2021 pour CVE-2021-45046)
-
M365 Manager Plus (maj 16/12/2021 pour CVE-2021-44228 et CVE-2021-45046))
-
M365 Security Plus (maj 16/12/2021 pour CVE-2021-45046)
-
RecoveryManager Plus (maj 16/12/2021 pour CVE-2021-45046)
-
Exchange Reporter Plus (maj 20/12/2021 pour CVE-2021-44228 et CVE-2021-45046) - maj de la lib lib4j (2.1.6) dans la build 5616
-
Log360 (maj 16/12/2021 pour CVE-2021-45046) - la build 5244 apporte un fix pour Log4j
-
Cloud Security Plus (maj 16/12/2021 pour CVE-2021-45046)
-
ADSelfservice Plus supprime les dépendances à Log4j dans sa build 6119
-
Remote Access Plus supprime les dépendances à Log4j dans sa build 10.1.2137.6
Les autres produits ManageEngine qui ne sont pas listés ci-dessus ne sont pas impactés par cette vulnérabilité.
Nous continuons à analyser le problème et nous mettrons à jour cet avis si de nouvelles informations sont disponibles.
En complément d'information, vous trouverez ci-dessous les éléments sur les produits non concernés par cette CVE :
ServiceDesk Plus
L'équipe de ServiceDesk Plus indique que le produit n'est pas impacté par cette CVE, utilisant une version antérieure à la version concernée par l'exploit.
Desktop Central
L'équipe de ServiceDesk Plus indique que le produit n'est pas impacté par cette CVE, utilisant une version antérieure à la version concernée par l'exploit.
Application Manager
Application Manager n'est impacté pas par cette CVE :CVE-2021-44228 / 'Critical Security Alert - RCE in Apache Log4j' / 'Log4Shell: RCE 0-day exploit found in log4j2' reported on Dec 09, 2021, is applicable only on 'JMSAppender' usage and from version 2. x.x to 2.14.1.The version which we bundle and use in AppManager is '1.2' and 'JMSAppender' is not being used in the same.Hence we can conclude that AppManager is not affected by this vulnerability. You can consider this is an official statement from us.
Password Manager Pro
Password Manager Pro n'est pas impacté par cette CVE :
The Log4j version bundled in Password Manager Pro (1.2.8) is not affected by this vulnerability. So this is not applicable to the Password Manager Pro product.Affected Version : 2.0 <= Apache log4j <= 2.14.1
Mise à jour :
-
21/12/21 - 15h30 : nouvelle Build pour Remote Access Plus, qui supprime Log4j
-
21/12/21 - 09h30 : nouvelle Build pour ADSelfservice Plus, qui supprime Log4
-
20/12/21 - 22h00 : nouvelle Build pour Exchange Reporter Plu
-
17/12/21 - 22h00 : nouvelles Build pour ADManager Plus, ADAudit Plus et Log36
-
16/12/21 - 16h30 : Mise à jour pour lien pour ADManager Plu
-
16/12/21 - 12h30 : Mise à jour pour la CVE-2021-4504
-
15/12/21 - 21h30 : Ajout d'Analytics Plus à la list
-
14/12/21 - 20h30 : Desktop Central supprime Log4j de ses dépendances avec la Build 10.1.2127.20. La Secure Gateway n'utilise pas Log4j
-
14/12/21 - 12h30 : Log360 (Build 5243) et Eventlog Analyzer (Build 12212) diposent d'une mise à jour concernant la vulnérabilité Log4j.
L'équipe PG Software pour ManageEngine France
Derniers blogs
- AD360 remporte la médaille d'argent au 2023 ‘ASTORS’ Homeland Security Awards Program
- Le Patch Tuesday d'avril 2024 propose des correctifs pour 149 vulnérabilités, mais pas de zero day.
- La supervision de l'expérience numérique dans Application Manager
- Mars 2024 Le Patch Tuesday propose des correctifs pour 60 vulnérabilités, mais pas de zero day
Dernières mises à jour
- Endpoint Central MSP - 11.2.2325.23 to 11.3.2400.15 - Jan,fev,mars
- Endpoint Central 11.2.2325.23 to 11.3.2400.15 - jan,fev,mars
- Password Manager Pro : Nouvelle version 12420
- EventLog Analyzer : nouvelle version 12430
- PAM360 : Nouvelle version 6540
- ADSelfService Plus : Nouvelle version 6404
- M365 Security Plus : Notes de mise à jour pour la version 4608
- M365 Manager Plus : Nouvelle version 4608