PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004
lundi, 13 décembre 2021 20:21
Vulnérabilité Log4j (CVE-2021-44228 et CVE-2021-45046)
Le 9 décembre 2021, la vulnérabilité CVE- 2021-44228 a été divulguée publiquement. Elle impacte plusieurs versions de l'outil Apache Log4j,
Comme de nombreux éditeur, ManageEngine utilise Log4j dans ces différentes applications.
Dans ce billet, nous allons rassembler les informations concernant l'impact de la vulnérabilité Log4Shell sur les différents produits de la gamme ManageEngine.
Remarque : Les procédures de remédiations ont pu évoluer avec l'apparition de la vulnérabilité CVE-2021-45046
Les produits ManageEngine fournis avec un Log4j2 vulnérable :
Produit | Version du Jar fourni dans les packages |
ADManager Plus | V2.11.1 |
ADAudit Plus | V2.10.0 |
DataSecurity Plus | V2.10.0 |
EventLog Analyzer | V2.9.1 |
M365 Manager Plus | V2.11.1 |
RecoveryManager Plus | V2.11.1 |
Exchange Reporter Plus | V2.11.1 |
Log360 | V2.9.1 |
Log360 UEBA | V2.11.1 |
Cloud Security Plus | V2.9.1 |
Analytics Plus | V2.7 |
Veuillez noter que nous n'avons pas identifié de cas exploitables dus à Log4j2 dans les produits ci-dessus car nous n'utilisons pas directement Log4j pour la journalisation. Cependant, certains des tiers que nous utilisons intègrent Log4j2 comme une dépendance. Par conséquent, à titre de mesure de sécurité supplémentaire, les clients sont invités à appliquer les mesures d'atténuation énumérées ci-dessous :
ADManager Plus (maj 15/12/2021 pour CVE-2021-45046) - la build 7122 apporte des mesures de précaution pour se protéger contre la vulnérabilité sur Log4j.
ADAudit Plus (maj 15/12/2021 pour CVE-2021-45046) - maj de la lib lib4j dans la build 7008
EventLog Analyzer (maj 16/12/2021 pour CVE-2021-45046)
M365 Manager Plus (maj 16/12/2021 pour CVE-2021-44228 et CVE-2021-45046))
M365 Security Plus (maj 16/12/2021 pour CVE-2021-45046)
RecoveryManager Plus (maj 16/12/2021 pour CVE-2021-45046)
Exchange Reporter Plus (maj 20/12/2021 pour CVE-2021-44228 et CVE-2021-45046) - maj de la lib lib4j (2.1.6) dans la build 5616
Log360 (maj 16/12/2021 pour CVE-2021-45046) - la build 5244 apporte un fix pour Log4j
Cloud Security Plus (maj 16/12/2021 pour CVE-2021-45046)
ADSelfservice Plus supprime les dépendances à Log4j dans sa build 6119
Remote Access Plus supprime les dépendances à Log4j dans sa build 10.1.2137.6
Les autres produits ManageEngine qui ne sont pas listés ci-dessus ne sont pas impactés par cette vulnérabilité.
Nous continuons à analyser le problème et nous mettrons à jour cet avis si de nouvelles informations sont disponibles.
En complément d'information, vous trouverez ci-dessous les éléments sur les produits non concernés par cette CVE :
ServiceDesk Plus
L'équipe de ServiceDesk Plus indique que le produit n'est pas impacté par cette CVE, utilisant une version antérieure à la version concernée par l'exploit.
Desktop Central
L'équipe de ServiceDesk Plus indique que le produit n'est pas impacté par cette CVE, utilisant une version antérieure à la version concernée par l'exploit.
Application Manager
Application Manager n'est impacté pas par cette CVE :CVE-2021-44228 / 'Critical Security Alert - RCE in Apache Log4j' / 'Log4Shell: RCE 0-day exploit found in log4j2' reported on Dec 09, 2021, is applicable only on 'JMSAppender' usage and from version 2. x.x to 2.14.1.The version which we bundle and use in AppManager is '1.2' and 'JMSAppender' is not being used in the same.Hence we can conclude that AppManager is not affected by this vulnerability. You can consider this is an official statement from us.
Password Manager Pro
Password Manager Pro n'est pas impacté par cette CVE :
The Log4j version bundled in Password Manager Pro (1.2.8) is not affected by this vulnerability. So this is not applicable to the Password Manager Pro product.Affected Version : 2.0 <= Apache log4j <= 2.14.1
Mise à jour :
21/12/21 - 15h30 : nouvelle Build pour Remote Access Plus, qui supprime Log4j
21/12/21 - 09h30 : nouvelle Build pour ADSelfservice Plus, qui supprime Log4
20/12/21 - 22h00 : nouvelle Build pour Exchange Reporter Plu
17/12/21 - 22h00 : nouvelles Build pour ADManager Plus, ADAudit Plus et Log36
16/12/21 - 16h30 : Mise à jour pour lien pour ADManager Plu
16/12/21 - 12h30 : Mise à jour pour la CVE-2021-4504
15/12/21 - 21h30 : Ajout d'Analytics Plus à la list
14/12/21 - 20h30 : Desktop Central supprime Log4j de ses dépendances avec la Build 10.1.2127.20. La Secure Gateway n'utilise pas Log4j
14/12/21 - 12h30 : Log360 (Build 5243) et Eventlog Analyzer (Build 12212) diposent d'une mise à jour concernant la vulnérabilité Log4j.
L'équipe PG Software pour ManageEngine France
Derniers blogs
- Le Patch Tuesday de mai 2023 propose des correctifs pour 38 vulnérabilités, dont 3 zero days.
- Revue de la détection des menaces : Menaces internes dans la cybersécurité
- L'authentification : La première étape vers le Zero Trust
- World Backup Day : Pourquoi il est important pour chaque entreprise d'avoir un plan B
Dernières mises à jour
- PAM360 : Nouvelle version 7300
- ADSelfService Plus : Nouvelle version 6509
- Key Manager Plus : Nouvelle version 7000
- AD360 : Nouvelle version 4406
- ADSelfService Plus : Nouvelle version 6508
- ADAudit Plus : Nouvelle version 8123
- ADSelfService Plus : Nouvelle version 6507
- SharePoint Manager Plus - Version 4503