Mise à jour sur la vulnérabilité Apache Log4j2

by Roger Mak, Chief Customer Success Officer

VULNÉRABILITÉ LOG4J

Process Fusion est conscient de la gravité et de la grande surface d’attaque de la vulnérabilité Apache Log4j2. La menace de vulnérabilité d’exécution de code à distance (RCE) pourrait potentiellement affecter Java et certaines applications .Net.

Nous surveillons activement ce problème et travaillons avec nos partenaires fournisseurs pour évaluer l’impact et toute correction requise.

Avant que notre évaluation ne soit terminée, veuillez vous assurer que votre défense de périmètre existante est active et à jour pour empêcher toute entrée non autorisée dans votre réseau. Le personnel doit toujours être vigilant pour éviter les cyberattaques telles que le phishing et les attaques d’ingénierie sociale.

Nous fournirons d’autres mises à jour au fur et à mesure que des informations supplémentaires seront disponibles.


Mise à jour du 14 décembre

Process Fusion a examiné nos produits, notre environnement de production et les produits pris en charge par des tiers pour l’exposition à la vulnérabilité Log4J (CVE-2021-44228). Vous trouverez ci-dessous une mise à jour intermédiaire sur l’état de la vulnérabilité :
Produits et infrastructure de fusion de processus

  1. Nos produits cloud, CapturePoint et UniPrint ont un composant affecté qui a été corrigé pour bloquer l’exploit. Les deux produits ont été corrigés.
  2. Nos produits sur site, CapturePoint et UniPrint ne sont PAS concernés.
  3. Nos applications UniPrint vPad et mobiles ne sont PAS affectées.
  4. Notre infrastructure de services gérés, y compris les outils de gestion à distance et de sécurité tiers, n’est PAS affectée ou a été corrigée pour bloquer l’exploit. Les défenses du périmètre fonctionnent normalement.

Vous trouverez ci-dessous une évaluation d’impact fournie par les fournisseurs respectifs de nos produits pris en charge **

  1. Xerox DocuShare et DocuShare Flex – certaines versions sont concernées. Voir les détails ici – https://help.carear.com/hc/en-us/articles/4415942561175
  2. OpenText RightFax – en utilisant log4j v1.x, l’enquête se poursuit
    Abbyy – Deux composants sont affectés parmi les produits d’Abbyy

− Connecteur SGBD pour ABBYY Timeline. Alors que le produit principal d’ABBYY Timeline n’est pas affecté par la vulnérabilité log4j, un composant auxiliaire – un connecteur DB – utilise log4j. ABBYY développe activement un correctif pour remédier à cette vulnérabilité le plus rapidement possible et contacte les clients concernés. En attendant, les clients peuvent exécuter la commande suivante pour résoudre le problème : « -Dlog4j2.formatMsgNoLookups=true ».

− Connecteur ABBYY FlexiCapture pour Pega. Alors que le produit principal ABBYY FlexiCapture n’est pas affecté, le connecteur FlexiCapture pour Pega est affecté par la vulnérabilité. ABBYY développe activement un correctif pour remédier à cette vulnérabilité le plus rapidement possible et contacte les clients concernés.