Le 9 décembre 2021, la vulnérabilité CVE- 2021-44228 a été divulguée publiquement. Elle impacte plusieurs versions de l'outil Apache Log4j,
Comme de nombreux éditeur, ManageEngine utilise Log4j dans ces différentes applications.
Dans ce billet, nous allons rassembler les informations concernant l'impact de la vulnérabilité Log4Shell sur les différents produits de la gamme ManageEngine.
Remarque : Les procédures de remédiations ont pu évoluer avec l'apparition de la vulnérabilité
CVE-2021-45046
Les produits ManageEngine fournis avec un Log4j2 vulnérable :
Produit
|
Version du Jar fourni dans les packages
|
ADManager Plus
|
V2.11.1
|
ADAudit Plus
|
V2.10.0
|
DataSecurity Plus
|
V2.10.0
|
EventLog Analyzer
|
V2.9.1
|
M365 Manager Plus
|
V2.11.1
|
RecoveryManager Plus
|
V2.11.1
|
Exchange Reporter Plus
|
V2.11.1
|
Log360
|
V2.9.1
|
Log360 UEBA
|
V2.11.1
|
Cloud Security Plus
|
V2.9.1
|
Analytics Plus
|
V2.7
|
Veuillez noter que nous n'avons pas identifié de cas exploitables dus à Log4j2 dans les produits ci-dessus car nous n'utilisons pas directement Log4j pour la journalisation. Cependant, certains des tiers que nous utilisons intègrent Log4j2 comme une dépendance. Par conséquent, à titre de mesure de sécurité supplémentaire, les clients sont invités à appliquer les mesures d'atténuation énumérées ci-dessous :
-
ADManager Plus (maj 15/12/2021 pour CVE-2021-45046) - la build 7122 apporte des mesures de précaution pour se protéger contre la vulnérabilité sur Log4j.
-
ADAudit Plus (maj 15/12/2021 pour CVE-2021-45046) - maj de la lib lib4j dans la build 7008
-
DataSecurity Plus
-
EventLog Analyzer (maj 16/12/2021 pour CVE-2021-45046)
-
M365 Manager Plus (maj 16/12/2021 pour CVE-2021-44228 et CVE-2021-45046))
-
M365 Security Plus (maj 16/12/2021 pour CVE-2021-45046)
-
RecoveryManager Plus (maj 16/12/2021 pour CVE-2021-45046)
-
Exchange Reporter Plus (maj 20/12/2021 pour CVE-2021-44228 et CVE-2021-45046) - maj de la lib lib4j (2.1.6) dans la build 5616
-
Log360 (maj 16/12/2021 pour CVE-2021-45046) - la build 5244 apporte un fix pour Log4j
-
Log360 UEBA
-
Cloud Security Plus (maj 16/12/2021 pour CVE-2021-45046)
-
Analytics Plus
-
ADSelfservice Plus supprime les dépendances à Log4j dans sa build 6119
-
Remote Access Plus supprime les dépendances à Log4j dans sa build 10.1.2137.6
Les autres produits ManageEngine qui ne sont pas listés ci-dessus ne sont pas impactés par cette vulnérabilité.
Nous continuons à analyser le problème et nous mettrons à jour cet avis si de nouvelles informations sont disponibles.
En complément d'information, vous trouverez ci-dessous les éléments sur les produits non concernés par cette CVE :
ServiceDesk Plus
L'équipe de ServiceDesk Plus indique que le produit n'est pas impacté par cette CVE, utilisant une version antérieure à la version concernée par l'exploit.
Desktop Central
L'équipe de ServiceDesk Plus indique que le produit n'est pas impacté par cette CVE, utilisant une version antérieure à la version concernée par l'exploit.
Application Manager
Application Manager n'est impacté pas par cette CVE :
CVE-2021-44228 / 'Critical Security Alert - RCE in Apache Log4j' / 'Log4Shell: RCE 0-day exploit found in log4j2' reported on Dec 09, 2021, is applicable only on 'JMSAppender' usage and from version 2. x.x to 2.14.1.
The version which we bundle and use in AppManager is '1.2' and 'JMSAppender' is not being used in the same.
Hence we can conclude that AppManager is not affected by this vulnerability. You can consider this is an official statement from us.
Password Manager Pro
Password Manager Pro n'est pas impacté par cette CVE :
The Log4j version bundled in Password Manager Pro (1.2.8) is not affected by this vulnerability. So this is not applicable to the Password Manager Pro product.
Affected Version : 2.0 <= Apache log4j <= 2.14.1
Mise à jour :
-
21/12/21 - 15h30 : nouvelle Build pour Remote Access Plus, qui supprime Log4j
-
21/12/21 - 09h30 : nouvelle Build pour ADSelfservice Plus, qui supprime Log4
-
20/12/21 - 22h00 : nouvelle Build pour Exchange Reporter Plu
-
17/12/21 - 22h00 : nouvelles Build pour ADManager Plus, ADAudit Plus et Log36
-
16/12/21 - 16h30 : Mise à jour pour lien pour ADManager Plu
-
16/12/21 - 12h30 : Mise à jour pour la CVE-2021-4504
-
15/12/21 - 21h30 : Ajout d'Analytics Plus à la list
-
14/12/21 - 20h30 : Desktop Central supprime Log4j de ses dépendances avec la Build 10.1.2127.20. La Secure Gateway n'utilise pas Log4j
-
14/12/21 - 12h30 : Log360 (Build 5243) et Eventlog Analyzer (Build 12212) diposent d'une mise à jour concernant la vulnérabilité Log4j.
L'équipe PG Software pour ManageEngine France