10.02.2022

Уязвимость «log4jshell»/«CVE-2021-44228»

«Интернет в огне» - так можно было бы охарактеризовать новость, которая появилась в декабре 2021 года. В распространённой библиотеке логирования «log4j», входящей в Apache Software Foundation, была выявлена уязвимость. Она позволяет злоумышленнику выполнить произвольный код на подверженной угрозе системе, в том числе получить полный контроль над ней.

В связи с этим, угрозе был присвоен уровень опасности CVSS 10 (максимальная степень угрозы) по международному стандарту оценки IT-рисков. Уязвимость получила имя – «log4jshell» или «Log4j Zero-Day Vulnerability» и код «CVE-2021-44228».

Указанная библиотека используется в разработках многих крупнейших производителей ПО, в том числе Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla и Twitter, в частности данная библиотека используется и в ARIS.

Software AG сообщил, что все релизы версии ARIS 10 подвержены выявленной угрозе.

Для решения этой проблемы был выпущен новый релиз ARIS 10.017 (ARIS 10.0 Service Release 17), а также патчи для релизов ARIS, где библиотека «log4j» была обновлена. Список этих версий представлен ниже:

ARIS 10.0.16c*
ARIS 10.0.15b
ARIS 10.0.14b
ARIS 10.0.13b
ARIS 10.0.12b
ARIS 10.0.11b
ARIS 10.0.10b

* При обновлении на релиз ARIS 10.0.16 и новее с более старых версий происходит изменение базового шаблона в ARIS Connect. Это означает, что если базовый шаблон был настроен под требования пользователя, то после обновления его придется перенастраивать с учетом изменений.

Разработчик обращает внимание, что лучше использовать самую последнюю версию ARIS, так как в ней исправлены все выявленные ошибки. Для пользователей 9-й версии ARIS также рекомендовано перейти на версию 10.**

ООО «Дайнова Консалтинг», как официальный партнер Software AG, протестировала на своих серверах выпущенные релизы. Тестирование показало, что библиотека «log4j» в обновленных релизах заменена на безопасные версии. Соответственно, уязвимость была устранена.

При обновлении программных продуктов вы можете обратиться в техническую службу компании ООО «Дайнова Консалтинг». Мы с радостью поможем и ответим на все ваши вопросы.

** Единственное исключение составляют более старые версии, чем SR16, если они установлены на Oracle 12.1. В этом случае рекомендуется перед обновлением обратиться в службу технической поддержки ООО «Дайнова консалтинг» или Software AG.

Другие сообщения

07.03.2024

Необходимость обновления версий продуктов ARIS

В настоящее время сложно представить предприятие, которое не использовало бы в своей работе какое-либо программное обеспечение. Вся работа предприятия в той или иной степени автоматизирована. Не исключением является и область моделирования и управления бизнес-процессами. Специализированные программные средства, например, такие как платформа ARIS, помогают сотрудникам предприятия создавать базу знаний о бизнесе, анализировать и улучшать его деятельность.

15.12.2023

Сравнение облачных решений ARIS

Облачные решения ARIS Basic, ARIS Advance, ARIS Enterprise представляют собой решения на базе ARIS Connect, где в зависимости от конфигурации доступны те или иные возможности программного продукта.

06.09.2023

Применение методологических фильтров в ARIS Connect

Портал ARIS Connect представляет собой единое хранилище знаний по бизнес-процессам организации. Работа с ним проста и не требует от пользователей углубленных знаний инструмента.

03.08.2023

ТОП 3 ошибок при резервировании данных ARIS

Резервирование данных применительно к системе ARIS имеет свои особенности. Если их не учитывать, могут возникнуть сложности или повышенные трудозатраты при восстановлении данных.

08.06.2023

Проблемы с установкой новых версий ARIS 10.0.20+

С новыми версиями ARIS (10.0.20+) могут возникнуть проблемы при установке. Проявляются они следующим образом: установка серверных компонентов проходит штатно, однако при их запуске некоторые компоненты не могут корректно запуститься, зависая на статусе «STARTING» либо переходя в статус «FAILED» (рис. 1).

18.05.2023

Управление вариантами в ARIS Connect

При моделировании и анализе процессов и их окружения бывают ситуации, когда необходимо рассмотреть несколько вариантов моделей одного и того же процесса или справочника.

Подпишитесь, чтобы быть в курсе всех новостей

Оформляя подписку Вы даете конкретное, предметное, информированное, сознательное и однозначное согласие на обработку своих персональных данных ООО "Дайнова консалтинг" (ОГРН 5137746187090) в объеме и с целями определенными "Политикой обработки персональных данных"