Le blog francophone consacré
aux technologies Esri

ArcGIS et vulnérabilités de Log4j

Esri a publié le 12/12/2021 des informations critiques d'alerte de sécurité pour les logiciels ArcGIS concernant une vulnérabilité de sécurité identifiée comme CVE-2021-44228, CVE-2021-45046, CVE-2021-4104, CVE-2021-45105 et CVE-2021-44832.



ArcGIS et les vulnérabilités Log4j

Esri a eu connaissance et a étudié l'impact des vulnérabilités de Log4j sur les logiciels et services ArcGIS avec une priorité très élevée. Esri a publié aujourd'hui (15/12/2021) une mise à jour des informations relatives aux tests réalisés et sur une procédure d'atténuation applicable. Vous pouvez consulter cet article de référence sur le sujet publié et mis à jour par Esri.


ArcGIS Enterprise

ArcGIS Enterprise et plusieurs produits connexes, notamment ArcGIS GeoEvent Server, intègrent ce composant Log4j. ArcGIS Enterprise version 10.7.1 et antérieures sont potentiellement vulnérables. Les équipes Esri ont publié une procédure d'atténuation que vous pouvez retrouver dans  cet article du blog ArcGIS.


ArcGIS Monitor

ArcGIS Monitor n'inclut pas le composant Log4j, il n'est donc pas exposé à cette vulnérabilité potentielle.


ArcGIS Pro et ArcMap

Les versions récentes d'ArcGIS Pro contiennent le composant Log4j mais ne sont pas connues pour être exploitables car, dans le cas d'ArcGIS Pro, le composant logiciel n'écoute pas le trafic distant. 

ArcMap ne contient pas le composant Log4j, il n'est pas concerné par cette vulnérabilité.


ArcGIS Online

Esri a effectué des correctifs préliminaires des systèmes ArcGIS Online et continue d'évaluer le CVE ainsi que tous les correctifs tiers pertinents à mesure qu'ils deviennent disponibles. Esri appliquera les correctifs appropriés conformément aux processus de gestion des changements applicables sur la plateforme Saas Esri.


arcOpole Builder
 
Pour arcOpole Builder, Esri France a validé une procédure dont la finalité est la même que celles recommandées par Esri sur ArcGIS. Les clients concernés ont reçu la procédure adaptée et peuvent consulter la page suivante de l'aide en ligne d'arcOpole Builder.


GeoCloud
 
Les équipes d'exploitation de la plateforme GeoCloud ont appliqué les dernières procédures recommandées par Esri sur les serveurs ArcGIS Enterprise infogérés par Esri France.
 

Dans tous les cas, si vous avez des questions ou des préoccupations, vous pouvez contacter le support technique d'Esri France par email support@esrifrance.fr ou par téléphone au 01 46 23 60 50.



Publication initiale: 13/12/2021
Dernière mise à jour: 29/12/2021 (18:23)

Partager cet article:

Rejoindre la discussion

    Les commentaires à propos de cet article:

1 commentaires :

Bruno IRATCHET a dit…

Merci pour le partage de cette veille, Gaëtan.