Уязвимость «log4jshell»/«CVE-2021-44228»
В связи с этим, угрозе был присвоен уровень опасности CVSS 10 (максимальная степень угрозы) по международному стандарту оценки IT-рисков. Уязвимость получила имя – «log4jshell» или «Log4j Zero-Day Vulnerability» и код «CVE-2021-44228».
Указанная библиотека используется в разработках многих крупнейших производителей ПО, в том числе Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla и Twitter, в частности данная библиотека используется и в ARIS.
Software AG сообщил, что все релизы версии ARIS 10 подвержены выявленной угрозе.
Для решения этой проблемы был выпущен новый релиз ARIS 10.017 (ARIS 10.0 Service Release 17), а также патчи для релизов ARIS, где библиотека «log4j» была обновлена. Список этих версий представлен ниже:
- ARIS 10.0.16c*
- ARIS 10.0.15b
- ARIS 10.0.14b
- ARIS 10.0.13b
- ARIS 10.0.12b
- ARIS 10.0.11b
- ARIS 10.0.10b
* При обновлении на релиз ARIS 10.0.16 и новее с более старых версий происходит изменение базового шаблона в ARIS Connect. Это означает, что если базовый шаблон был настроен под требования пользователя, то после обновления его придется перенастраивать с учетом изменений.
Разработчик обращает внимание, что лучше использовать самую последнюю версию ARIS, так как в ней исправлены все выявленные ошибки. Для пользователей 9-й версии ARIS также рекомендовано перейти на версию 10.**
ООО «Дайнова Консалтинг», как официальный партнер Software AG, протестировала на своих серверах выпущенные релизы. Тестирование показало, что библиотека «log4j» в обновленных релизах заменена на безопасные версии. Соответственно, уязвимость была устранена.
При обновлении программных продуктов вы можете обратиться в техническую службу компании ООО «Дайнова Консалтинг». Мы с радостью поможем и ответим на все ваши вопросы.
** Единственное исключение составляют более старые версии, чем SR16, если они установлены на Oracle 12.1. В этом случае рекомендуется перед обновлением обратиться в службу технической поддержки ООО «Дайнова консалтинг» или Software AG.