Logo PG Software
lundi, 13 décembre 2021 20:21

Vulnérabilité Log4j (CVE-2021-44228 et CVE-2021-45046)

Évaluer cet élément
(0 Votes)

Le 9 décembre 2021, la vulnérabilité CVE- 2021-44228 a été divulguée publiquement. Elle impacte plusieurs versions de l'outil Apache Log4j,

Comme de nombreux éditeur, ManageEngine utilise Log4j dans ces différentes applications.

Dans ce billet, nous allons rassembler les informations concernant l'impact de la vulnérabilité Log4Shell sur les différents produits de la gamme ManageEngine.


Remarque : Les procédures de remédiations ont pu évoluer avec l'apparition de la vulnérabilité CVE-2021-45046

Les produits ManageEngine fournis avec un Log4j2 vulnérable :

Produit

Version du Jar fourni dans les packages

ADManager Plus

V2.11.1

ADAudit Plus

V2.10.0

DataSecurity Plus

V2.10.0

EventLog Analyzer

V2.9.1

M365 Manager Plus

V2.11.1

RecoveryManager Plus

V2.11.1

Exchange Reporter Plus

V2.11.1

Log360

V2.9.1

Log360 UEBA

V2.11.1

Cloud Security Plus

V2.9.1

Analytics Plus

V2.7

Veuillez noter que nous n'avons pas identifié de cas exploitables dus à Log4j2 dans les produits ci-dessus car nous n'utilisons pas directement Log4j pour la journalisation. Cependant, certains des tiers que nous utilisons intègrent Log4j2 comme une dépendance. Par conséquent, à titre de mesure de sécurité supplémentaire, les clients sont invités à appliquer les mesures d'atténuation énumérées ci-dessous :

  1. ADManager Plus (maj 15/12/2021 pour CVE-2021-45046) - la build 7122 apporte des mesures de précaution pour se protéger contre la vulnérabilité sur Log4j.

  2. ADAudit Plus (maj 15/12/2021 pour CVE-2021-45046) - maj de la lib lib4j dans la build 7008

  3. DataSecurity Plus 

  4. EventLog Analyzer (maj 16/12/2021 pour CVE-2021-45046)

  5. M365 Manager Plus (maj 16/12/2021 pour CVE-2021-44228 et CVE-2021-45046))

  6. M365 Security Plus  (maj 16/12/2021 pour CVE-2021-45046)

  7. RecoveryManager Plus (maj 16/12/2021 pour CVE-2021-45046)

  8. Exchange Reporter Plus (maj 20/12/2021 pour CVE-2021-44228 et CVE-2021-45046) - maj de la lib lib4j (2.1.6) dans la build 5616

  9. Log360 (maj 16/12/2021 pour CVE-2021-45046) - la build 5244 apporte un fix pour Log4j

  10. Log360 UEBA

  11. Cloud Security Plus (maj 16/12/2021 pour CVE-2021-45046)

  12. Analytics Plus

  13. ADSelfservice Plus supprime les dépendances à Log4j dans sa build 6119  

  14. Remote Access Plus supprime les dépendances à Log4j dans sa build 10.1.2137.6

Les autres produits ManageEngine qui ne sont pas listés ci-dessus ne sont pas impactés par cette vulnérabilité.

Nous continuons à analyser le problème et nous mettrons à jour cet avis si de nouvelles informations sont disponibles.

En complément d'information, vous trouverez ci-dessous les éléments sur les produits non concernés par cette CVE :

ServiceDesk Plus

L'équipe de ServiceDesk Plus indique que le produit n'est pas impacté par cette CVE, utilisant une version antérieure à la version concernée par l'exploit. 

Desktop Central

L'équipe de ServiceDesk Plus indique que le produit n'est pas impacté par cette CVE, utilisant une version antérieure à la version concernée par l'exploit. 

Application Manager 

Application Manager n'est impacté pas  par cette CVE :

CVE-2021-44228 / 'Critical Security Alert - RCE in Apache Log4j' / 'Log4Shell: RCE 0-day exploit found in log4j2' reported on Dec 09, 2021, is applicable only on 'JMSAppender' usage and from version 2. x.x to 2.14.1.
 
The version which we bundle and use in AppManager is '1.2' and 'JMSAppender' is not being used in the same.
 
Hence we can conclude that AppManager is not affected by this vulnerability. You can consider this is an official statement from us.

Password Manager Pro

Password Manager Pro n'est pas impacté par cette CVE :


The Log4j version bundled in Password Manager Pro (1.2.8) is not affected by this vulnerability. So this is not applicable to the Password Manager Pro product.
 Affected Version : 2.0 <= Apache log4j <= 2.14.1

Mise à jour : 
  • 21/12/21 - 15h30 : nouvelle Build pour Remote Access Plus, qui supprime Log4j

  • 21/12/21 - 09h30 : nouvelle Build pour ADSelfservice Plus, qui supprime Log4

  • 20/12/21 - 22h00 : nouvelle Build pour Exchange Reporter Plu

  • 17/12/21 - 22h00 : nouvelles Build pour ADManager Plus, ADAudit Plus et Log36

  • 16/12/21 - 16h30 : Mise à jour pour lien pour ADManager Plu

  • 16/12/21 - 12h30 : Mise à jour pour la CVE-2021-4504

  • 15/12/21 - 21h30 : Ajout d'Analytics Plus à la list

  • 14/12/21 - 20h30 : Desktop Central supprime Log4j de ses dépendances avec la Build 10.1.2127.20. La Secure Gateway n'utilise pas Log4j

  • 14/12/21 - 12h30 : Log360 (Build 5243) et Eventlog Analyzer (Build 12212) diposent d'une mise à jour concernant la vulnérabilité Log4j.

L'équipe PG Software pour ManageEngine France

Lu 1153 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.