Cette instruction traite des problèmes relatifs à ePO et à la vulnérabilité log4j documentée dans CVE-2021-44832.
Mitre CVE-2021-44832
CVE-2021-44832
Apache Log4j2 2.0 -beta7 (à 2.17.0 l’exception des 2.12.4 versions des correctifs 2.3.2 de sécurité) sont vulnérables à une attaque de type exécution de code à distance (RCE) dans laquelle un attaquant autorisé à modifier le fichier de configuration de la journalisation peut créer une configuration malveillante à l’aide d’un annexeur JDBC avec une source de données référençant un URI JNDI qui peut exécuter du code à distance.
Ce problème est résolu en limitant JNDI.
Recherches et conclusions
Aucune version d’ePO n’implémente l’ajout de JDBC. Par conséquent, ePO n’est pas vulnérable à CVE-2021-44832. Cependant, nous incrémenterons notre bibliothèque log4j vers la version 2.17.1 ou ultérieurement dans une prochaine mise à jour.