Cet article fournit des informations supplémentaires à SB10377, concernant ePO en local et les vulnérabilités log4j.
Les applicables impliqués sont les suivantes :
- CVE-2021-44228
- CVE-2021-45046
- CVE-2021-45105
- CVE-2021-44832.
Notre réponse officielle concernant l’impact produit sur les vulnérabilités log4j est disponible dans
SB10377-McAfee Enterprise produits pour "Log4Shell" (CVE-2021-44228, CVE-2021-4104, CVE-2021-45046 et CVE-2021-45105).
Vous trouverez des informations sur notre couverture de logiciels malveillants (malwares) pour log4shell dans
KB95091-McAfee Enterprise Coverage pour Apache LOG4J CVE-2021-44228 exécution de code à distance.
Détails de la version de HotFix
Pour répondre dans les plus brefs délais, deux Hotfix ont été publiés pour ePO, ce qui a incrémenté log4j. Ces deux Hotfix ont été extraits de notre site de téléchargement, car ils ne sont plus nécessaires avec la mise à jour de la version 12 d’ePO 5.10 .
Version d'ePO |
Version
Date
|
Log4j
Version |
Applicables corrigé |
Commentaires |
ePO 5.10 Update 12 |
11 janvier
2022 |
2.17.1 |
CVE-2021-44228
CVE-2021-45046
CVE-2021-45105 |
|
ePO 5.10 Update 11 Hotfix 2 |
21 décembre
2021 |
2.17.0 |
CVE-2021-44228
CVE-2021-45046
CVE-2021-45105 |
Non disponible. Remplacé par la mise à jour d’ePO 5.10 12. |
ePO 5.10 Update 11 Hotfix 1 |
16 décembre
2021 |
2.16.0 |
CVE-2021-44228 |
Non disponible. Remplacé par la mise à jour ePO 5.10 11 Hotfix 2. |
IMPORTANT :
- Les deux Hotfix ne pouvaient être installés que sur la mise à jour ePO 5.10 11.
- Les deux Hotfix devaient être supprimés manuellement avant d’utiliser la fonctionnalité de réparation sur la mise à jour 11 d’EPO 5.10 .
- Vous pouvez appliquer la mise à jour ePO 5.10 12, que vous ayez ou non appliqué l’un ou l’autre HotFix.
Questions fréquemment posées
Si j’ai installé la mise à jour epo 5.10 11 Hotfix 1, dois-je effectuer une mise à niveau vers ePO 5.10 mise à jour 12 ?
Positive. mise à jour d’ePO 5.10 11 Hotfix 1 corrigée CVE-2021-44228, mais elle ne répond pas aux CVE-2021-45046 et CVE-2021-45105.
Si j’ai installé la mise à jour ePO 5.10 11 Hotfix 2, dois-je effectuer une mise à niveau vers ePO 5.10 mise à jour 12 ?
Il n’est pas nécessaire, mais vous pouvez le faire. Aucune autre vulnérabilité n’est corrigée entre la mise à jour ePO 5.10 11 Hotfix 2 et 5.10 la mise à jour 12 d’EPO, car ePO n’est pas vulnérable à CVE-2021-44832. Reportez-vous à la section
KB95123-ePolicy Orchestrator Enmaintenance Statement (SSC2112291)-Response to log4j vulnérabilité CVE-2021-44832 pour obtenir de la documentation sur les raisons pour lesquelles ePO n’est pas vulnérable à cve-2021-44832.
Si ePO n’est pas vulnérable à CVE-2021-44832, pourquoi ePO 5.10 mise à jour 12 fournit-il la version 2.17.1 log4j ?
Une décision a été prise lors de la réponse à log4j, qui nous permettraient de suivre nos versions de HotFix avec une version de mise à jour cumulative. La mise à jour n’a incrémenté log4j et a fourni les build les plus récents au moment de la distribution.
Si j’ai appliqué la mise à jour ePO 5.10 11 Hotfix 1 ou 2, dois-je les supprimer avant d’appliquer la mise à jour 12 ? Non. Vous pouvez supprimer les fichiers que vous avez sauvegardés lors de l’application des HotFix. Elle est facultative, mais elle n’est pas nécessaire.
En supposant que vous ayez utilisé les mêmes noms de fichier que ceux recommandés dans les notes de publication du Hotfix, vous pouvez supprimer en toute sécurité les fichiers ci-dessous après avoir appliqué la mise à jour 12 ou une version ultérieure :
- log4j-1.2-api-2.14.1.jar.bak
- log4j-1.2-api-2.14.1.jar.sig.bak
- log4j-api-2.14.1.jar.bak
- log4j-api-2.14.1.jar.sig.bak
- log4j-core-2.14.1.jar.bak
- log4j-core-2.14.1.jar.sig.bak
- log4j-1.2-api-2.16.0.jar.bak
- log4j-1.2-api-2.16.0.jar.sig.bak
- log4j-api-2.16.0.jar.bak
- log4j-api-2.16.0.jar.sig.bak
- log4j-core-2.16.0.jar.bak
- log4j-core-2.16.0.jar.sig.bak
Remarque : Il se peut que vous ne disposiez pas de tous les fichiers répertoriés ci-dessus. Cela dépend du fait que vous ayez appliqué le HotFix 1 ou le Hotfix 2, ou les deux.
Pourquoi mon vulnérabilité analyseur-elle le marquage Agent les gestionnaires comme vulnérables à une ou plusieurs vulnérabilités log4j ?
La même mise à jour cumulative package appliquée sur le serveur ePO est utilisée pour mettre à jour les gestionnaires de l'agent. Cette package contient une copie des bibliothèques log4j pour mettre à jour le serveur d’applications. Lorsque vous appliquez une mise à jour à un gestionnaire d'agents, elle copie le contenu du package entier dans le
\Updater dossier. La présence de ces fichiers JAR est celle qui est détectée par le analyseur. Etant donné que ces fichiers ne sont pas utilisés par le gestionnaire, vous pouvez soit ignorer les résultats de l’analyse, soit supprimer les fichiers.
Pourquoi mon vulnérabilité analyseur-elle marquer mon serveur ePO comme vulnérable à une vulnérabilité log4j après l’application de la mise à jour 12 ?
Lorsque vous appliquez une mise à jour sur le serveur ePO, elle copie l’ensemble de la mise à jour package dans le <ePO Install Directory>\Updates dossier. Cet emplacement peut également contenir des fichiers JAR log4j. ePO ne charge que les bibliothèques log4j à partir <ePO Install Dir>\Server\Lib du dossier. Toute copie des fichiers JAR log4j à un autre emplacement non utilisé par ePO peut être supprimée. Mais pas sans aucun inconvénient potentiel en dehors du fonctionnement quotidien d’ePO.
Ce tableau décrit les emplacements des fichiers et les problèmes potentiels liés à leur suppression. Ce tableau suppose que vous utilisez le répertoire d’installation par défaut d’ePO.
Emplacement du fichier |
Fichiers jar
peut être supprimé
ou
Renommé? |
Impact potentiel |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\ |
Non |
ePO ne fonctionne pas.
Le service Tomcat ne démarre pas ou ne s’initialise pas correctement. |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Updates\ |
Oui |
La fonctionnalité de restauration et de réparation de l’outil de mise à jour peut échouer. |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Installer\ |
Oui |
La réparation de l’installation d’ePO peut échouer. |
Remarque : Les chemins d’accès ci-dessus incluent tous les sous-dossiers figurant dans le chemin d’accès référencé.
Dois-je supprimer les instructions d’atténuation précédemment publiées qui ont été documentées dans SB10377 for ePO avant ou après l’application de la mise à jour ePO 5.10 12 ?
Non. Les instructions d’atténuation pour ePO peuvent être laissées en place ; ils n’ont aucun impact négatif sur ePO. Si vous souhaitez les supprimer, les instructions permettant de le faire sont décrites dans le statut des produits SB10377-McAfee Enterprise pour "Log4Shell" (CVE-2021-44228, CVE-2021-4104, CVE-2021-45046 et CVE-2021-45105).
CVE-2021-44228, CVE-2021-4104, CVE-2021-45046 et CVE-2021-45105 s’applique-t-il à ePO 5.10 mise à jour 10 ou version antérieure ? Si ce n’est pas le cas, pourquoi ?
Aucune des applicables ne s’applique à ePO 5.10 mise à jour 10 ou antérieure. Pour CVE-2021-44228, CVE-2021-45046 et CVE-2021-45105, cela est dû au fait que ces vulnérabilités s’appliquent uniquement à log4j 2.x, alors que la mise à jour d’EPO 5.10 10 et les versions antérieures utilisent log4j 1.2. CVE-2021-4104 s’applique à log4j 1.2, mais vous n’êtes vulnérable que si le JMSAppender est mis en œuvre. ePO n’implémente pas le JMSAppender .