Visão geral
Este documento aborda as preocupações com o ePolicy Orchestrator e a vulnerabilidade de Log4J do Apache mais recente. Este relatório reflete as perguntas sobre o
CVE-2019-17571.
Descrição
CVE-2019-17571
Incluído no
Log4J 1.2 é uma
SocketServer classe que é vulnerável à desserialização de dados não confiáveis, que pode ser explorada para executar um código arbitrário remotamente quando combinado com um gadget de desserialização, ao ouvir o tráfego de rede não confiável para dados de registro. Esse problema afeta as versões do log4j até
1.21.2.17 .
Pesquisa e conclusões
A equipe de engenharia do ePO analisou este CVE. Foi determinado que a
atualização do ePO 5.10 10 e versões anteriores usam
Log4J a versão 1.2.17 como o provedor de log e, portanto, inclui o código vulnerável. No entanto, o modo como o ePO configura e usa o Log4J
não permite explorá-lo. o ePO não usa um anexador de log de rede para ouvir o tráfego de rede para registrar os dados. Em vez disso, nossa implementação somente grava em um arquivo no sistema local.
Realizamos a atualização para
Log4J a versão
2.14 do
ePO 5.10 Update 11.