ArcGIS et vulnérabilités de Log4j
Esri a publié le 12/12/2021 des informations critiques d'alerte de sécurité pour les logiciels ArcGIS concernant une vulnérabilité de sécurité identifiée comme CVE-2021-44228, CVE-2021-45046, CVE-2021-4104, CVE-2021-45105 et CVE-2021-44832.
ArcGIS et les vulnérabilités Log4j
Esri a eu connaissance et a étudié l'impact des vulnérabilités de Log4j sur les logiciels et services ArcGIS avec une priorité très élevée. Esri a publié aujourd'hui (15/12/2021) une mise à jour des informations relatives aux tests réalisés et sur une procédure d'atténuation applicable. Vous pouvez consulter cet article de référence sur le sujet publié et mis à jour par Esri.
ArcGIS Enterprise
ArcGIS Enterprise et plusieurs produits connexes, notamment ArcGIS GeoEvent Server, intègrent ce composant Log4j. ArcGIS Enterprise version 10.7.1 et antérieures sont potentiellement vulnérables. Les équipes Esri ont publié une procédure d'atténuation que vous pouvez retrouver dans cet article du blog ArcGIS.
ArcGIS Monitor
ArcGIS Monitor n'inclut pas le composant Log4j, il n'est donc pas exposé à cette vulnérabilité potentielle.
ArcGIS Pro et ArcMap
Les versions récentes d'ArcGIS Pro contiennent le composant Log4j mais ne sont pas connues pour être exploitables car, dans le cas d'ArcGIS Pro, le composant logiciel n'écoute pas le trafic distant.
ArcMap ne contient pas le composant Log4j, il n'est pas concerné par cette vulnérabilité.
ArcGIS Online
Esri a effectué des correctifs préliminaires des systèmes ArcGIS Online et continue d'évaluer le CVE ainsi que tous les correctifs tiers pertinents à mesure qu'ils deviennent disponibles. Esri appliquera les correctifs appropriés conformément aux processus de gestion des changements applicables sur la plateforme Saas Esri.
arcOpole Builder
Pour arcOpole Builder, Esri France a validé une procédure dont la finalité est la même que celles recommandées par Esri sur ArcGIS. Les clients concernés ont reçu la procédure adaptée et peuvent consulter la page suivante de l'aide en ligne d'arcOpole Builder.
GeoCloud
Les équipes d'exploitation de la plateforme GeoCloud ont appliqué les dernières procédures recommandées par Esri sur les serveurs ArcGIS Enterprise infogérés par Esri France.
Dans tous les cas, si vous avez des questions ou des préoccupations, vous pouvez contacter le support technique d'Esri France par email support@esrifrance.fr ou par téléphone au 01 46 23 60 50.
Publication initiale: 13/12/2021
Dernière mise à jour: 29/12/2021 (18:23)
1 comments :
Merci pour le partage de cette veille, Gaëtan.
Enregistrer un commentaire