Este artículo proporciona información suplementaria sobre SB10377, con respecto a ePO local y las vulnerabilidades de la log4j.
Los CVE implicados son:
- CVE-2021-44228
- CVE-2021-45046
- CVE-2021-45105
- CVE-2021-44832.
Nuestra respuesta formal sobre el impacto del producto en las vulnerabilidades de la Log4j está disponible en el estado de los
productos de SB10377-McAfee Enterprise para "Log4Shell" (CVE-2021-44228, CVE-2021-4104, CVE-2021-45046 y CVE-2021-45105).
Puede encontrar información sobre nuestra cobertura de malware para log4shell en
KB95091-McAfee Enterprise Coverage para la Apache la Log4j CVE-2021-44228 ejecución remota de código.
Detalles de la versión de Hotfix
Para responder lo más rápido posible, se publicaron dos HotFixes para ePO que incrementaban la log4j. Ambos HotFixes se han extraído del sitio de descargas porque ya no son necesarios con la publicación de la actualización de ePO 5.10 12.
Versión de ePO |
Versión
Fecha
|
La Log4j
Versión |
CVE con dirección |
Comentarios |
ePO 5.10 Update 12 |
11 de enero
2022 |
2.17.1 |
CVE-2021-44228
CVE-2021-45046
CVE-2021-45105 |
|
ePO 5.10 Update 11 Hotfix 2 |
21 de diciembre
2021 |
2.17.0 |
CVE-2021-44228
CVE-2021-45046
CVE-2021-45105 |
No disponible. Reemplazado por la actualización de ePO 5.10 12. |
ePO 5.10 Update 11 Hotfix 1 |
16 de diciembre
2021 |
2.16.0 |
CVE-2021-44228 |
No disponible. Reemplazado por la actualización de ePO 5.10 11 Hotfix 2. |
IMPORTANTE:
- Ambos Hotfix solo se podían instalar en la actualización de ePO 5.10 11.
- Ambos HotFixes deben eliminarse manualmente antes de utilizar la función de reparación en la actualización de ePO 5.10 11.
- Puede aplicar la actualización de ePO 5.10 12, independientemente de si ha aplicado cualquiera Hotfix.
Preguntas frecuentes
Si he instalado la actualización de epo 5.10 11 Hotfix 1, ¿debo ampliar a la actualización de ePO 5.10 12?
Sí. actualización de ePO 5.10 11 Hotfix 1 con la dirección CVE-2021-44228, pero no se redirecciona CVE-2021-45046 o CVE-2021-45105.
Si he instalado la actualización de ePO 5.10 11 Hotfix 2, debo ampliar a la actualización de ePO 5.10 12?
No es necesario, pero puede hacerlo. No se ha solucionado ninguna vulnerabilidad adicional entre la actualización de ePO 5.10 11 Hotfix 2 y la actualización de ePO 5.10 12 porque ePO no es vulnerable a CVE-2021-44832. Consulte
KB95123-EPolicy Orchestrator Vulnerability Statement (SSC2112291)-Response a la Log4j vulnerabilidad CVE-2021-44832 para obtener documentación sobre por qué ePO no es vulnerable a cve-2021-44832.
Si ePO no es vulnerable a CVE-2021-44832, ¿por qué la actualización de ePO 5.10 12 proporciona la versión 2.17.1 la Log4j?
Se ha tomado una decisión al responder a la Log4j que realizaría el seguimiento de nuestras versiones de hotfix con una versión de actualización acumulativa. La actualización solo se ha incrementado la Log4j y proporcionó la versión más reciente disponible en el momento de la liberación.
Si he aplicado la actualización de ePO 5.10 11 Hotfix 1 o 2, ¿necesito eliminarlos antes de aplicar la actualización 12? No. Puede eliminar los archivos de los que haya realizado una copia de seguridad cuando aplique los HotFixes. Es opcional, pero no es necesario.
Si utiliza los mismos nombres de archivo que se recomiendan en las notas de la versión de hotfix, puede eliminar con seguridad los archivos siguientes después de aplicar la actualización 12 o posterior:
- log4j-1.2-api-2.14.1.jar.bak
- log4j-1.2-api-2.14.1.jar.sig.bak
- log4j-api-2.14.1.jar.bak
- log4j-api-2.14.1.jar.sig.bak
- log4j-core-2.14.1.jar.bak
- log4j-core-2.14.1.jar.sig.bak
- log4j-1.2-api-2.16.0.jar.bak
- log4j-1.2-api-2.16.0.jar.sig.bak
- log4j-api-2.16.0.jar.bak
- log4j-api-2.16.0.jar.sig.bak
- log4j-core-2.16.0.jar.bak
- log4j-core-2.16.0.jar.sig.bak
Nota: Es posible que no tenga todos los archivos enumerados anteriormente. Depende de si ha aplicado hotfix 1, hotfix 2 o ambos.
¿Por qué la vulnerabilidad analizador marca Controladores de agentes como vulnerables a una o varias vulnerabilidades de la Log4j?
Se utiliza el mismo paquete de actualización acumulativo que se aplica en el servidor de ePO para actualizar Controladores de agentes. Este paquete contiene una copia de las bibliotecas de la Log4j para actualizar el servidor de aplicaciones. Cuando se aplica una actualización a un Controlador de agentes, copia el contenido de todo el paquete en la
\Updater carpeta. La presencia de estos archivos JAR es la que detecta el analizador. Dado que el controlador no utiliza estos archivos, puede omitir los resultados del análisis o eliminar los archivos.
¿Por qué la vulnerabilidad analizador marcar mi servidor de ePO como vulnerable a una vulnerabilidad de la Log4j después de haber aplicado la actualización 12?
Cuando se aplica una actualización al servidor de ePO, se copia todo el paquete de actualización a la <ePO Install Directory>\Updates carpeta. Esta ubicación también puede contener algunos archivos JAR de la log4j. ePO solo carga las bibliotecas de la Log4j desde la <ePO Install Dir>\Server\Lib carpeta. Se puede eliminar cualquier copia de los archivos JAR de la Log4j en cualquier otra ubicación que no utilice ePO. No obstante, no sin desventajas potenciales fuera del funcionamiento cotidiano de ePO.
En esta tabla se describen las ubicaciones de los archivos y los posibles problemas con su eliminación. En esta tabla se asume que utiliza el directorio de instalación de ePO predeterminado.
Ubicación del archivo |
Archivos jar
se puede eliminar
o bien
Cambie? |
Posible impacto |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\ |
No |
ePO no funciona.
Es posible que el servicio Tomcat no se inicie o no se inicialice correctamente. |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Updates\ |
Sí |
La función de reversión y reparación de la herramienta de actualización puede fallar. |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Installer\ |
Sí |
La reparación de la instalación de ePO puede fallar. |
Nota: Las rutas de acceso anteriores incluyen las subcarpetas de la ruta a la que se hace referencia.
¿Necesito eliminar las instrucciones de mitigación publicadas anteriormente que se documentaron en SB10377 para ePO antes o después de aplicar la actualización de ePO 5.10 12?
No. Las instrucciones de mitigación de ePO pueden dejarse en su sitio; no tienen un impacto negativo en ePO. Si desea eliminarlos, las instrucciones para ello se documentan en SB10377-Productos de McAfee de la empresa para "Log4Shell" (CVE-2021-44228, CVE-2021-4104, CVE-2021-45046 y CVE-2021-45105).
¿CVE-2021-44228, CVE-2021-4104, CVE-2021-45046 y CVE-2021-45105 se aplican a la actualización de ePO 5.10 10 o anterior? En caso contrario, ¿por qué?
Ninguna de las CVE se aplica a la actualización de ePO 5.10 10 o anterior. En el caso de CVE-2021-44228, CVE-2021-45046 y CVE-2021-45105, se debe a que esas vulnerabilidades solo se aplican a la Log4j 2.x, mientras que la actualización de ePO 5.10 10 y anteriores utilizan la Log4j 1.2. CVE-2021-4104 se aplica a la Log4j 1.2, pero solo es vulnerable si JMSAppender se implementa. ePO no implementa JMSAppender .