| Os recursos oficiais da plataforma Sankhya não são afetados pelas vulnerabilidades identificadas na biblioteca Log4J. |
O que é a Log4j?
Está sendo divulgado pela mídia uma vulnerabilidade da biblioteca de software Log4j. Explicando de uma forma mais simples, a Log4j é uma biblioteca do Apache que auxilia desenvolvedores a realizar o que é chamado de "logging", um processo que permite guardar registros de interações, envio de informações, processamento de dados e resultados de uma determinada ação.
O "logging" possibilita guardar esse registro para analisar o comportamento de uma aplicação ou acompanhar as mudanças feitas durante o desenvolvimento do programa. A Log4j tem uma série de funcionalidades para esse fim e é usada em aplicações Java, muito populares ao redor do mundo.
Qual o problema?
Uma falha de segurança na biblioteca Log4j foi divulgada recentemente. Essa vulnerabilidade pode ser explorada para conseguir acesso a partes críticas das aplicações e permite que códigos maliciosos sejam enviados ao servidor da aplicação.
Especialistas em cibersegurança classificaram essa falha como gravíssima (fonte: CVE-2021-44228 Detail). Segundo um levantamento da Check Point, no Brasil, 59% das redes corporativas monitoradas foram impactadas por tentativas de explorar essa vulnerabilidade, nas últimas semanas (fonte: The Numbers Behind Log4j Vulnerability CVE-2021-44228).
O Sankhya Om está protegido?
Sim, todos os recursos oficiais da plataforma Sankhya estão seguros.
Após a divulgação da vulnerabilidade, os especialistas da Sankhya analisaram todas as aplicações da plataforma Sankhya, incluindo o servidor de aplicação, e nenhuma possui a vulnerabilidade citada. Tanto as aplicações, quanto as versões de servidor de aplicação que adotamos, utilizam versões seguras do Log4j.
Atenção para customizações
Mesmo que as aplicações oficiais da plataforma Sankhya estejam protegidas, recomendamos que as customizações em módulo java e extensões sejam verificadas pelos seus autores. É necessário confirmar que as versões da biblioteca Log4j Core 2.0 até 2.16 não estão sendo utilizadas pelas customizações. Caso estejam, solicitamos a imediata atualização para a versão 2.17 ou a remoção da classe “JndiLookup.class” do pacote Log4j. Detalhes sobre o procedimento podem ser encontrados em Apache Log4j.
Especificações
|
CVE |
efeito |
Plataforma Sankhya |
|
Código malicioso pode ser carregado a partir do LDAP |
as aplicações da plataforma Sankhya não são afetadas por essa vulnerabilidade, pois não utilizam as versões comprometidas do Log4J |
|
|
Código malicioso pode ser executado remotamente |
as aplicações da plataforma Sankhya não são afetadas por essa vulnerabilidade, pois a vulnerabilidade está associada ao JMSAppender, que não é usado em nossas soluções |
Para tirar dúvidas sobre essa questão, acesse o post na comunidade Sankhya Developer.
Comentários
0 comentário
Por favor, entre para comentar.