Descripción general
En este documento se abordan las preocupaciones sobre ePolicy Orchestrator y la vulnerabilidad Apache la Log4j más reciente. Este informe refleja preguntas sobre
CVE-2019-17571.
Descripción
CVE-2019-17571
En
la Log4j 1.2 se incluye una
SocketServer clase que es vulnerable a la deserialización de datos no de confianza, lo que se puede aprovechar para ejecutar código arbitrario de forma remota cuando se combina con un gadget de deserialización, cuando se escucha el tráfico de red que no es de confianza para los datos de registro. Este problema afecta a las versiones de
1.2 la Log4j hasta el máximo
1.2.17 de.
Investigación y conclusiones
El equipo de ingeniería de ePO ha revisado este CVE. Se ha determinado que la
actualización de ePO 5.10 10 y anteriores utilizan
Log4J versión 1.2.17 como proveedor de registro y, por tanto, incluye el código vulnerable. No obstante, la forma en que ePO configura y utiliza la Log4j hace que
no se pueda aprovechar. ePO no utiliza un anexador de registro de red para escuchar el tráfico de red a fin de registrar los datos. En su lugar, nuestra implementación solo escribe en un archivo del sistema local.
Hemos ampliado a
Log4J la versión
2.14 a en la
actualización de ePO 5.10 11.