Panoramica
Questo documento riguarda le preoccupazioni relative a ePolicy Orchestrator e alla più recente Apache Log4J vulnerabilità. Questo rapporto riflette le domande relative a
CVE-2019-17571.
Descrizione/Controlli
CVE-2019-17571
Incluso in
log4j 1.2 è una
SocketServer classe che è vulnerabile alla deserializzazione di dati non affidabili, che possono essere sfruttati per eseguire in remoto codice arbitrario quando combinato con un gadget di deserializzazione, quando si ascolta il traffico di rete non affidabile per i dati di registro. Questo problema influisce sulle versioni di
1.2 log4j fino a un massimo di
1.2.17 .
Ricerca e conclusioni
Il team di Engineering di ePO ha esaminato questo CVE. È stato determinato che
ePO 5.10 Update 10 e versioni precedenti utilizzano
Log4J la versione 1.2.17 come provider di log, quindi include il codice vulnerabile. Tuttavia, il modo in cui ePO configura e utilizza Log4J rende
non sfruttabile. ePO non utilizza un accodamento di registrazione di rete per ascoltare il traffico di rete per registrare i dati. Piuttosto, la nostra implementazione scrive solo in un file del sistema locale.
Abbiamo eseguito l'upgrade alla
Log4J versione
2.14 in
ePO 5.10 Update 11.