Questo articolo fornisce informazioni supplementari a SB10377 per quanto riguarda ePO locale e le vulnerabilità di log4j.
I CVE coinvolti includono:
- CVE-2021-44228
- CVE-2021-45046
- CVE-2021-45105
- CVE-2021-44832.
La nostra risposta formale per quanto riguarda l'impatto del prodotto sulle vulnerabilità di Log4j è disponibile nello
stato di SB10377-McAfee Enterprise Products ' per "Log4Shell" (CVE-2021-44228, CVE-2021-4104, CVE-2021-45046 e CVE-2021-45105).
Potete trovare informazioni sulla nostra copertura malware per log4shell nella
copertura KB95091-McAfee Enterprise per Apache LOG4J CVE-2021-44228 esecuzione remota di codice.
Dettagli rilascio hotfix
Per rispondere il più rapidamente possibile, sono stati rilasciati due hotfix per ePO che hanno incrementato log4j. Entrambi gli hotfix sono stati estratti dal nostro sito download perché non sono più necessari con il rilascio di ePO 5.10 Update 12.
Versione di ePO |
Versione
Data
|
Log4j
Versione |
CVE indirizzato |
Commenti |
ePO 5.10 Update 12 |
11 gennaio
2022 |
2.17.1 |
CVE-2021-44228
CVE-2021-45046
CVE-2021-45105 |
|
ePO 5.10 Update 11 Hotfix 2 |
21 dicembre
2021 |
2.17.0 |
CVE-2021-44228
CVE-2021-45046
CVE-2021-45105 |
Non disponibile. Sostituito da ePO 5.10 Update 12. |
ePO 5.10 Update 11 Hotfix 1 |
16 dicembre
2021 |
2.16.0 |
CVE-2021-44228 |
Non disponibile. Sostituito da ePO 5.10 Update 11 hotfix 2. |
IMPORTANTE:
- Entrambi gli hotfix possono essere installati solo in ePO 5.10 Update 11.
- Entrambi gli hotfix necessari per essere rimossi manualmente prima di utilizzare la funzione ripara in ePO 5.10 Update 11.
- È possibile applicare l'aggiornamento di ePO 5.10 12, indipendentemente dal fatto che sia stato applicato un hotfix.
Domande frequenti
Se è stato installato l'hotfix 1 di ePO 5.10 Update 11, è necessario effettuare l'upgrade a ePO 5.10 Update 12?
Sì. l'hotfix 1 di ePO 5.10 Update 11 ha affrontato CVE-2021-44228, ma non si occupa dell'indirizzo CVE-2021-45046 o CVE-2021-45105.
Se è stato installato ePO 5.10 Update 11 hotfix 2, è necessario effettuare l'upgrade a ePO 5.10 Update 12?
Non è necessario, ma è possibile. Non vengono affrontate ulteriori vulnerabilità tra ePO 5.10 Update 11 hotfix 2 e ePO 5.10 Update 12 perché ePO non è vulnerabile a CVE-2021-44832. Vedi
dichiarazione di sostegno di KB95123-ePolicy orchestrant (SSC2112291)-risposta alla vulnerabilità LOG4J CVE-2021-44832 per la documentazione sul perché ePO non è vulnerabile a CVE-2021-44832.
Se ePO non è vulnerabile a CVE-2021-44832, perché ePO 5.10 Update 12 fornisce la versione 2.17.1 di log4j?
È stata presa una decisione rispondendo a log4j che avremmo seguito i nostri hotfix rilasci con una release di aggiornamento cumulativa. L'aggiornamento ha incrementato solo log4j e ha fornito gli ultimi build disponibili al momento del rilascio.
Se è stato applicato ePO 5.10 Update 11 hotfix 1 o 2, è necessario rimuoverli prima di applicare l'aggiornamento 12?
No. È possibile rispostare i file di cui è stato eseguito il backup quando si applicano gli hotfix. È facoltativo, ma non è necessario.
Supponendo che siano stati utilizzati gli stessi nomi di file consigliati nelle note di rilascio di hotfix, è possibile rispostare in modo sicuro i file elencati di seguito dopo l'applicazione dell'aggiornamento 12 o versioni successive:
- log4j-1.2-api-2.14.1.jar.bak
- log4j-1.2-api-2.14.1.jar.sig.bak
- log4j-api-2.14.1.jar.bak
- log4j-api-2.14.1.jar.sig.bak
- log4j-core-2.14.1.jar.bak
- log4j-core-2.14.1.jar.sig.bak
- log4j-1.2-api-2.16.0.jar.bak
- log4j-1.2-api-2.16.0.jar.sig.bak
- log4j-api-2.16.0.jar.bak
- log4j-api-2.16.0.jar.sig.bak
- log4j-core-2.16.0.jar.bak
- log4j-core-2.16.0.jar.sig.bak
Nota: È possibile che non siano presenti tutti i file elencati in precedenza. Dipende dal fatto che sia stato applicato hotfix 1, hotfix 2 o entrambi.
Perché la mia vulnerabilità programma di scansione contrassegnare i gestori Agent come vulnerabili a una o più vulnerabilità di log4j?
Lo stesso pacchetto di aggiornamento cumulativo applicato sul server ePO viene utilizzato per aggiornare i gestori di Agent. Questo pacchetto contiene una copia delle librerie di log4j per aggiornare il server applicazioni. Quando si applica un aggiornamento a un gestore degli agent, il contenuto dell'intero pacchetto
\Updater viene copiato nella cartella. La presenza di questi file JAR è ciò che il programma di scansione sta rilevando. Poiché questi file non vengono utilizzati dal gestore, è possibile ignorare i risultati della scansione o rispostare i file.
Perché la mia vulnerabilità programma di scansione contrassegnare il server ePO come vulnerabile a una vulnerabilità log4j dopo aver applicato l'aggiornamento 12?
Quando si applica un aggiornamento sul server ePO, l'intero pacchetto di <ePO Install Directory>\Updates aggiornamento viene copiato nella cartella. Questo percorso potrebbe contenere anche alcuni file JAR log4j. ePO carica solo le librerie log4j dalla <ePO Install Dir>\Server\Lib cartella. È possibile rispostare tutte le copie dei file JAR di Log4j in qualsiasi altro percorso che ePO non utilizza. Ma, non senza potenziali svantaggi al di fuori delle attività quotidiane di ePO.
In questa tabella vengono descritte le posizioni dei file e i potenziali problemi relativi alla loro rimozione. In questa tabella si presuppone che si utilizzi la directory di installazione di ePO predefinita.
Percorso file |
File jar
può essere eliminato
oppure
Rinominato? |
Impatto potenziale |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\ |
No |
ePO non funziona.
Il servizio Tomcat potrebbe non avviarsi o inizializzarsi correttamente. |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Updates\ |
Sì |
La funzionalità di ripristino e ripristino dello strumento di aggiornamento può non riuscire. |
C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Installer\ |
Sì |
La riparazione dell'installazione di ePO potrebbe non riuscite. |
Nota: I percorsi sopra citati includono le sottocartelle del percorso a cui si fa riferimento.
È necessario rispostare le istruzioni per la mitigazione pubblicate in precedenza che sono state documentate in SB10377 per ePO prima o dopo l'applicazione dell'aggiornamento ePO 5.10 12?
No. Le istruzioni di mitigazione per ePO possono essere lasciate in sede; non hanno alcun impatto negativo su ePO. Se si desidera rimuoverli, le istruzioni per farlo sono documentate in SB10377-McAfee i prodotti Enterprise ' stato per "Log4Shell" (CVE-2021-44228, CVE-2021-4104, CVE-2021-45046 e CVE-2021-45105).
Le versioni CVE-2021-44228, CVE-2021-4104, CVE-2021-45046 e CVE-2021-45105 sono valide per l'aggiornamento di ePO 5.10 10 o versione precedente? In caso contrario, perché?
Nessuno di CVE si applica all'aggiornamento ePO 5.10 10 o versioni precedenti. Per CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105, perché tali vulnerabilità si applicano solo a log4j 2.x, mentre ePO 5.10 Update 10 e versioni precedenti utilizzano log4j 1.2. CVE-2021-4104 si applica a log4j 1.2, ma si è vulnerabili solo se JMSAppender viene implementata. ePO non implementa JMSAppender .