Sage X3 / Vulnérabilité dans Apache Log4j

Sage X3 / Vulnérabilité dans Apache Log4j

Article mis à jour le 28/12/2021

Cette alerte de sécurité concerne une vulnérabilité critique dans la bibliothèque de composants tiers Apache log4j utilisée par Sage X3. Cette vulnérabilité permet l’exécution de code à distance sans authentification.

Il est important de noter que seules des versions spécifiques de la bibliothèque Apache log4j sont connues pour être vulnérables, et bien que cette bibliothèque Apache log4j soit utilisée dans plus d’un composant Sage X3, le seul composant de Sage X3 qui utilise une version impactée de cet Apache log4j est Elasticsearch version 7.9 ou supérieure, et cela n’affecte que Sage X3 V11 et V12.

Quelles sont les versions d’Apache Log4j affectés ?

  • Apache Log4j versions 2.16.0 et 2.12.2 (java 7) [MaJ 28/12/2021]
  • Apache Log4j version 2.15.0 [MaJ 28/12/2021]
  • Apache Log4j versions 2.0 à 2.14.1
  • Apache Log4j versions 1.x (versions obsolètes) sous réserve d’une configuration particulière
  • Les produits utilisant une version vulnérable d’Apache Log4j

Suis-je impacté ?

Si les Best practices de sécurité sur la façon d’installer Sage X3 ont été suivies, il ne devrait y avoir AUCUN impact sur les installations de Sage X3. Les seules versions de Sage X3 susceptibles d’être impactées sont Sage X3 V11 et V12 qui utilisent Elasticsearch version 7.9 ou supérieure.

[MaJ 28/12/2021] Suite à des investigations plus profondes de la part des équipes d’ElasticSearch, d’autres versions antérieures peuvent être vulnérable. La liste des versions vulnérables en fonction des JDK est disponible sur le site d’ElasticSearch en lien en bas de cet article.

Nos socles Logiz n’utilisant pas Apache Log4j, ceux-ci ne sont donc pas impactés par cette vulnérabilité.

Quelles versions d’ElasticSearch sont utilisées dans Sage X3 ?

Toutes les versions de Sage X3 utilisent Elasticsearch, mais seule la version 7.9 et supérieure d’Elasticsearch est utilisée dans les versions 11 et 12 de Sage X3 qui peuvent être affectées par cette vulnérabilité. Les clients exécutant Sage X3 version 9 ou antérieure ne sont pas concerné.

[MaJ 28/12/2021] Prendre en considération la liste des versions vulnérables publiées par ElasticSearch.

Vous trouverez ci-dessous un résumé des versions d’Elasticsearch livrées avec des versions spécifiques de Sage X3 :

  • Sage X3 Version 9 : Elasticsearch 1.5
  • Sage X3 Version 11 : Elasticsearch 7.9
  • Sage X3 Version 12 : Elasticsearch 7.9 ou 7.13

Que dois-je faire ?

Il est nécessaire de déterminer quelle version de Log4j est utilisée sur votre infrastructure et de suivre les recommandations, lorsque cela est possible du CERT-FR :

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

Il est possible de déterminer la version de Log4j de certains composants dans leur répertoire d’installation, par exemple :

  • ElasticSearch : <chemin_elasticsearch>\elasticsearch-1.5.1\elasticsearch-1.5.1\lib\log4j-1.2.17.jar

Le problème de sécurité log4j révélé a été pris en compte par les équipes R&D Sage et Elasticsearch a publié les versions 7.16.1 et 6.8.21 qui contiennent la propriété JVM par défaut supprimant certains composants de Log4j par prudence.

[MaJ 28/12/2021] Les versions 7.16.2 et 6.8.22 ont été publiées par Elasticsearch. Si vous souhaitez réaliser une mise à jour, ce sont ces versions qui sont à privilégier.

D’autres composants sont-ils concernés ?

Seule la version 7.9 et supérieure d’Elasticsearch est affectée par cette vulnérabilité de la bibliothèque Apache Log4j et il ne devrait pas y avoir d’impact plus large pour Sage X3.

Le serveur Web Java et les composants Java Bidge utilisés dans Sage X3 utilisent une version de la bibliothèque Apache Log4j, mais ce sont des versions qui sont antérieures à cette vulnérabilité et, en tant que telles, Sage pense qu’elles ne sont pas vulnérables à ce problème.

Références

No Comments

Sorry, the comment form is closed at this time.