13 dicembre 2021 - WARNING - Una vulnerabilità recentemente documentata nella libreria java log4j ha sollevato molte preoccupazioni in questi ultimi giorni. Da una verifica che abbiamo prontamente eseguito, abbiamo verificato che questa componente è presente nel sistema ArcGis Server “Apache Log4j 2” di Esri, mentre Geocortex Essentials e Geocortex Analytics non sono impattati come da comunicazione del produttore VertiGIS.
Problema
Tecnicamente, la vulnerabilità (CVE-2021-44228) colpisce più versioni dell'utilità Apache Log4j 2 ed è stata divulgata pubblicamente tramite GitHub il 9 dicembre 2021. Tale vulnerabilità è accompagnata da molteplici exploit kit pubblici e sono già registrate campagne massive di scansione. La vulnerabilità impatta sulle versioni Log4j dalla 2.0 alla 2.14.1. Ci sono segnalazioni ancora da confermare relative la release 1.x, potenzialmente vulnerabile, quando si utilizza la classe Appender JMS.
Azioni
Le possibili attività di remdiation per indirizzare la vulnerabilità in oggetto sulle installazioni esplicite di java, per mitigare l’impatto di questa vulnerabilità, rispetto alle soluzioni di software Vertigis ed ESRI, sono:
- Per ArcGIS Enterprise (Server e Portal), la versione 10.7.1 e precedenti sono potenzialmente vulnerabili (indipendentemente dall'utilizzo di un server Web Apache), Esri ha rilasciato una comunicazione sul livello di vulnerabilità ed i primi rimedi applicabili.
- Il team Geocortex di Vertigis ha esaminato l'intera base di codice e ha confermato che Log4J 2.x non viene utilizzato da nessuna parte da alcun prodotto Geocortex. La versione di log4j inclusa con Geocortex Essentials e Geocortex Analytics non è vulnerabile a CVE-2021-44228.
E' quindi necessario per i prodotti ArcGIS Enterprise, dover applicare patch di sicurezza Esri per affrontare la vulnerabilità; occorre fare riferimento alla guida di Esri su CVE-2021-44228, riportati in questa comunicazione ed avviare una serie di operazioni di aggiornamento.
Contatto
I nostri clienti possono contattare il servizio di supporto tecnico per indicazioni sulle azioni ottimali da apportare per il proprio sistema.
Link
- Informazioni da Esri Inc.
- Informaziopni da Geocortex
- Informazioni per prodotti VertiGIS
- Github regole YARA
- Agenzia nazionale per la sicurezza nazionale