Présentation
Ce document traite des problèmes relatifs à ePolicy Orchestrator et à la toute dernière vulnérabilité liée à Apache Log4J. Ce rapport reflète les questions relatives à
CVE-2019-17571.
Description
CVE-2019-17571
Inclus dans
log4j 1.2 est une
SocketServer classe qui est vulnérable à la désérialisation de données non approuvées, qui peut être exploitée pour exécuter du code arbitraire à distance lorsqu’il est combiné à un gadget de désérialisation, lors de l’écoute du trafic réseau non approuvé pour les données de journalisation. Ce problème affecte les versions log4j jusqu'
1.21.2.17 à.
Recherches et conclusions
L’équipe d’ingénierie d’ePO a revu cette CVE. Il a été déterminé que la
mise à jour 10 et les versions antérieures d’EPO 5.10 utilisent
Log4J la version 1.2.17 en tant que fournisseur de journaux, et inclut donc le code vulnérable. Cependant, la manière dont ePO configure et utilise
log4j rend ce dernier inexploitable. ePO n’utilise pas d’ajout de journalisation réseau pour surveiller le trafic réseau afin de consigner les données. Au lieu de cela, notre implémentation écrit uniquement dans un fichier sur le système local.
Nous avons procédé à la mise à niveau
Log4J vers la version
2.14 de la
mise à jour ePO 5.10 11.