Vyjadrenie a opatrenia k zraniteľnosti knižnice Apache Log4j s identifikátorom CVE-2021-44228

20. decembra 2021

CDESK3 vo verziách do 3.0.194.0 obsahuje dotknutú knižnicu vo verzii 2.00 až 2.14 s chybou.

Lokalizovaná bola v knižnici pre prácu s XLS súbormi na export a import a v rámci komponenty Tomcat, ktoré oboje zatiaľ boli len pripravené na použitie pre produkciu.

Danú XLS knižnicu  a Tomcat na serveroch s platným supportom odstránime bez updatu celého servera. V produkcii zostáva staršia XLS knižnica, ktorá síce obsahuje tiež Log4j knižniciu, ale staršej verzie bez zraniteľnosti a bude nahradená v priebehu budúceho roka.

V žiadnej inej časti CDESK3 sa knižnica Log4J nevyskytuje, ani pri inštalácii priamo na server ani pri Dockerizovanej verzii.

CDESK2 – túto novú XLS knižnicu nepoužíva, ale keďže kód je spoločný s CDESK3, dočistenie je potrebné aj v tomto prípade.

CUSTOMER MONITOR  sa to týka komponent Guacamole  a C-Monitor Linux/Mac klienta. Guacamole bude ošetrené včítane zásahu na CDESK3. C-Monitor Linux klient, ma síce ešte verziu nižšiu než 2.00, ktora je bez zraniteľnosti, ale je už vo vývoji update s najnovšou knižnicou a predpokladáme, že v priebehu pár dní ho uvoľníme na download stránke www.customermonitor.sk/download.

Na všetkých serveroch s platným supportom spravia naši administrátori opravu do 23.12.2021, pokiaľ nebude prekážka v pripojení na server.

So zákazníkmi, kde je potrebné pripojenie na povolenie, sa dohodneme individuálne.