Este artigo fornece informações complementares ao SB10377, referentes ao ePO local e às vulnerabilidades do log4j.
Os CVEs envolvidos incluem:
- CVE-2021-44228
- CVE-2021-45046
- CVE-2021-45105
- CVE-2021-44832.
Nossa resposta formal referente ao impacto sobre o produto para as vulnerabilidades do log4j está disponível no
status SB10377-McAfee Enterprise Products para "Log4Shell" (CVE-2021-44228, CVE-2021-4104, CVE-2021-45046 e CVE-2021-45105).
Você pode encontrar informações sobre a nossa cobertura de malware para log4shell na
cobertura KB95091-McAfee Enterprise para Apache Log4J a execução remota de código do CVE-2021-44228.
Detalhes da versão do hotfix
Para responder o mais rápido possível, dois hotfixes foram lançados para o ePO, o que incrementava o Log4J. Esses dois hotfixes foram extraídos de nosso site download porque não são mais necessários com o lançamento do ePO 5.10 Update 12.
| Versão do ePO |
Lançamento
Data
|
Log4J
Versão |
CVEs endereçado |
Comentários |
| ePO 5.10 Update 12 |
11
de janeiro
2022 |
2.17.1 |
CVE-2021-44228
CVE-2021-45046
CVE-2021-45105 |
|
| ePO 5.10 Update 11 Hotfix 2 |
21
de dezembro
2021 |
2.17.0 |
CVE-2021-44228
CVE-2021-45046
CVE-2021-45105 |
Não disponível.
Substituído pela atualização 12 do ePO 5.10 . |
| ePO 5.10 Update 11 Hotfix 1 |
16
de dezembro
2021 |
2.16.0 |
CVE-2021-44228 |
Não disponível.
Substituída pela atualização do ePO 5.10 11 hotfix 2. |
IMPORTANTE:
- Os dois hotfixes podem ser instalados apenas no ePO 5.10 atualização 11.
- Os dois hotfixes precisavam ser removidos manualmente antes de usar o recurso reparar no ePO 5.10 Update 11.
- Você pode aplicar a atualização do ePO 5.10 12, independentemente de ter aplicado hotfix.
Perguntas frequentes
Se eu tiver instalado a atualização do epo 5.10 11 hotfix 1, será necessário upgrade para a atualização do ePO 5.10 12?
Positivo. a atualização do ePO 5.10 11 hotfix 1 abordou CVE-2021-44228, mas não lida com CVE-2021-45046 ou CVE-2021-45105.
Se eu tiver instalado a atualização do ePO 5.10 11 hotfix 2, eu deverá upgrade para a atualização do ePO 5.10 12?
Ela não é necessária, mas você pode. Nenhuma vulnerabilidade adicional é endereçada entre a atualização do ePO 5.10 11 hotfix 2 e a atualização do ePO 5.10 12 porque o ePO não está vulnerável ao CVE-2021-44832. Consulte
KB95123-declaração de sustentação do EPolicy Orchestrator (SSC2112291)-resposta à vulnerabilidade de LOG4J CVE-2021-44832 para obter a documentação sobre o que o ePO não é vulnerável ao CVE-2021-44832.
Se o ePO não estiver vulnerável ao CVE-2021-44832, por que a atualização do ePO 5.10 12 oferece a versão 2.17.1 do log4j?
Foi tomada uma decisão ao responder ao Log4J que faremos o acompanhamento de nossas versões de hotfix com uma versão de atualização cumulativa. O atualização apenas incrementado o Log4J e forneceu a compilação mais recente disponível no momento da liberação.
Se eu aplicou a atualização do ePO 5.10 11 hotfix 1 ou 2, preciso removê-las antes de aplicar a atualização 12?
Não. É possível remover os arquivos dos quais foi feito o backup ao aplicar os hotfixes. É opcional, mas não é necessária.
Supondo que você tenha usado os mesmos nomes de arquivo recomendados nas notas de versão do hotfix, você pode remover os arquivos abaixo com segurança depois de aplicar a atualização 12 ou posterior:
- log4j-1.2-api-2.14.1.jar.bak
- log4j-1.2-api-2.14.1.jar.sig.bak
- log4j-api-2.14.1.jar.bak
- log4j-api-2.14.1.jar.sig.bak
- log4j-core-2.14.1.jar.bak
- log4j-core-2.14.1.jar.sig.bak
- log4j-1.2-api-2.16.0.jar.bak
- log4j-1.2-api-2.16.0.jar.sig.bak
- log4j-api-2.16.0.jar.bak
- log4j-api-2.16.0.jar.sig.bak
- log4j-core-2.16.0.jar.bak
- log4j-core-2.16.0.jar.sig.bak
Nota: Talvez você não tenha todos os arquivos listados acima. Depende se você aplicou o hotfix 1, hotfix 2 ou ambos.
Por que a minha vulnerabilidade mecanismo de varredura a sinalização de manipuladores de Agents como vulneráveis a uma ou mais vulnerabilidades do log4j?
O mesmo pacote de atualização cumulativo que você aplica ao servidor ePO é usado para atualização manipuladores de Agent. Este pacote contém uma cópia das bibliotecas do log4j para atualização servidor de aplicativos. Quando você aplica um atualização a um Manipulador de agentes, ele copia o conteúdo de todo o pacote para a
\Updater pasta. A presença desses arquivos JAR é o que o mecanismo de varredura está detectando. Como esses arquivos não são usados pelo manipulador, você pode ignorar os resultados da varredura ou remover os arquivos.
Por que a minha vulnerabilidade está mecanismo de varredura sinalizando meu servidor ePO como vulnerável a uma vulnerabilidade de Log4J após a aplicação da atualização 12?
Quando você aplica um atualização no servidor ePO, ele copia todo o pacote de atualização para a <ePO Install Directory>\Updates pasta. Esse local também pode conter alguns arquivos JAR do log4j. o ePO carrega apenas as bibliotecas do log4j da <ePO Install Dir>\Server\Lib pasta. Todas as cópias dos arquivos JAR do log4j em qualquer outro local que o ePO não usar poderão ser removidas. No entanto, não sem possíveis desvantagens fora da operação diária do ePO.
Esta tabela descreve os locais de arquivo e possíveis problemas para removê-los. Esta tabela pressupõe que você use o diretório de instalação padrão do ePO.
| Localização do arquivo |
Arquivos
jar
pode ser excluído
ou
Renomeado? |
Possível impacto |
| C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\ |
Não |
o ePO não funciona.
O serviço Tomcat pode não ser iniciado ou ser inicializado corretamente. |
| C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Updates\ |
Sim |
O recurso de reversão e reparo da ferramenta de atualização pode falhar. |
| C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Installer\ |
Sim |
O reparo da instalação do ePO pode falhar. |
Nota: Os caminhos acima incluem todas as subpastas no caminho referenciado.
Preciso remover as instruções de mitigação publicadas anteriormente que foram documentadas em SB10377 para o ePO antes ou depois de aplicar a atualização do ePO 5.10 12?
Não. As instruções de mitigação do ePO podem ser mantidas no local; Eles não têm impacto negativo sobre o ePO. Se desejar removê-los, as instruções para isso estão documentadas no SB10377-McAfee Enterprise Products ' o status de "Log4Shell" (CVE-2021-44228, CVE-2021-4104, CVE-2021-45046 e CVE-2021-45105).
O CVE-2021-44228, CVE-2021-4104, CVE-2021-45046 e CVE-2021-45105 se aplicam à atualização do ePO 5.10 10 ou anterior? Se não, por quê?
Nenhum dos CVEs aplica-se à atualização do ePO 5.10 10 ou anterior. Para CVE-2021-44228, CVE-2021-45046 e CVE-2021-45105, isso ocorre porque essas vulnerabilidades somente se aplicam ao Log4J 2.x, enquanto a atualização do ePO 5.10 10 e versões anteriores usam o Log4J 1.2. CVE-2021-4104 aplica-se a Log4J 1.2, mas você estará vulnerável apenas se o JMSAppender for implementado. o ePO não implementa o JMSAppender .
