Oprogramowanie ArcGIS i CVE-2021-44228

W związku z informacjami dotyczącymi nowej luki w zabezpieczeniach zidentyfikowanej jako CVE-2021-44228 (znanej również jako Log4Shell lub LogJam) firma Esri nadała wysoki priorytet badaniu jej wpływu na oprogramowanie i usługi ArcGIS.

_________________

Esri aktywnie bada wpływ następujących luk w bibliotece Log4j, ponieważ niektóre produkty Esri zawierają to popularne narzędzie. Aktualizacje oprogramowania eliminujące podatność są sukcesywnie udostępniane do pobrania pod TYM adresem.

Niniejszy artykuł zawiera najnowsze informacje o produktach Esri i będzie aktualizowany w miarę pojawiania się nowych informacji.

Joint Cybersecurity Advisory, reprezentujący organizacje zajmujące się cyberbezpieczeństwem na całym świecie, opublikowało dokument zawierający przydatne podsumowanie wskazówek dotyczących ograniczania luk w zabezpieczeniach Log4j, z których klienci mogą korzystać, oprócz naszych zaleceń dotyczących konkretnych produktów. Dwa aspekty, których wdrożenie powinna rozważyć Twoja organizacja, to mechanizmy ostrzegania i blokowania dotyczące tego problemu. Aby ułatwić wdrożenie zalecanego mechanizmu blokowania przy użyciu zapory aplikacji Web (WAF), przygotowano przewodnik dotyczący reguł filtrowania aplikacji Web, który znajduje się w dokumentacji dostępnej dla klienta w ArcGIS Trust Center.

Należy pamiętać, że nasze środki zaradcze są zgodne z dyrektywą: Emergency Directive 22-02 Mitigate Apache Log4 Vulnerability.

ArcGIS Enterprise

Część produktów wchodzących w skład platformy ArcGIS Enterprise zawiera podatną bibliotekę log4j, jednak nie dysponujemy wiedzą o istnieniu narzędzia wykorzystującego ten wektor ataku dla żadnej wersji podstawowego wdrożenia ArcGIS Enterprise (w tym ArcGIS Server, Portal for ArcGIS i ArcGIS Data Store) lub samodzielnego wdrożenia ArcGIS Server.

Firma Esri oceniła potencjalny wpływ podatności CVE-2021-45105 na ataki typu „odmowa usługi” w Portal for ArcGIS, ArcGIS Server i ArcGIS Data Store i ustaliła, że te komponenty oprogramowania nie udostępniają wektorów pozwalających na przeprowadzenie ataku.

Esri opracowało zestaw skryptów, których zastosowanie ogranicza możliwość wykorzystania luki Log4Shell. Zdecydowanie zaleca się zastosować je do wszystkich instalacji ArcGIS Enterprise i ArcGIS Server w dowolnej wersji oprogramowania. Skrypty usuwają klasę JndiLookup, bezpośrednio odpowiedzialną za opisaną wcześniej podatność. Operacja ta nie wymaga aktualizacji wersji Log4j, a jej wykonanie ograniczy możliwość wykorzystania podatności oznaczonych jako CVE-2021-44228 i CVE-2021-45046. Skrypty zostały zweryfikowane dla wersji 10.6 i nowszych, jednak powinny działać również w starszych wersjach ArcGIS Enterprise i ArcGIS Server. Oddzielne szczegółowe instrukcje i skrypty są dostępne dla:

• ArcGIS Server – ArcGIS GIS Server, ArcGIS GeoAnalytics Server i ArcGIS Image Server
• Portal for ArcGIS
• ArcGIS DataStore
• ArcGIS GeoEvent Server
• ArcGIS Workflow Manager Server
• ArcGIS GeoEnrichment Server

Uwagi:

• Po zastosowaniu skryptów w systemie nadal będą obecne biblioteki Log4j w wersji zawierające lukę, jednak niebezpieczny kod został usunięty.
• We wdrożeniu podstawowymArcGIS Enterprise nie są wykorzystywane klasy Log4j 1.2 JMSAppender i Log4j 2.x JDBCAppender,   dlatego rozwiązanie nie jest podatne na podatnośći oznaczone CVE-2021-4104 oraz CVE-2021-44832
• ArcGIS WebAdaptor nie wykorzystuje bibliotek Log4j.
• Opublikowane wyżej skrypty są tymczasowym środkiem zaradczym, jednak zdecydowanie zachęcamy do ich niezwłocznego zastosowania.
• Trwają prace nad przygotowaniem uaktualnień produktów ArcGIS Enterprise niwelujących wpływ tej podatności. Kolejne informacje będą podawane do publicznej wiadomości tak szybko jak to możliwe, jednak nie należy zwlekać z zastosowaniem opisanej wyżej metody.

ArcGIS Notebook Server

Produkt składa się z dwóch części: podstawowej struktury  (framework) i obrazu kontenera Docker:

• Struktura podstawowa nie zawiera Log4j, z wyjątkiem wersji 10.7.x produktu, która NIE zawiera podatnej na ataki klasy JMSAppender i dlatego NIE jest podatna na wyżej opisane ryzyka.
• Obraz kontenera Docker zawiera Log4j, jednak, aby użytkownik mógł skorzystać z komponentu, musiałaby mieć uprawnienia do kontenera notatnika, więc Log4j nie stanowi dodatkowego ryzyka RCE w tej konfiguracji. Poprawki do obrazów kontenerów Docker będą wkrótce udostępniane.

ArcGIS Online

Esri kontynuuje wprowadzanie poprawek do systemów ArcGIS Online, w tym aktualizacji do najnowszej wersji log4j 2.17 i kontynuuje ocenę CVE, a także wszystkich odpowiednich poprawek innych firm, gdy tylko staną się one dostępne.

ArcMap

Nie zawiera Log4j i dlatego nie jest podatny na CVE. Zobacz sekcję Rozszerzenia ArcGIS Desktop , jeśli korzystasz z opcjonalnych rozszerzeń.

ArcGIS Monitor

Ten produkt nie zawiera Log4j i dlatego nie jest podatny na ten problem.

ArcGIS Pro

Wszystkie wersje ArcGIS Pro objęte wsparciem General Availability zawierają Log4j, jednak sposób ich implementacji nie pozwala na wykorzystanie podatności CVE-2021-44228, gdyż oprogramowanie nie nasłuchuje połączeń przychodzących. ArcGIS Pro zawiera domyślnie Log4j, aby obsługiwać dwa obszary funkcjonalne:

ArcGIS Pro GeoAnalytics Desktop Tools

• Podstawowy składnik Log4j NIE zawiera klasy JMSAppender i dlatego NIE jest podatny na CVE.
• Esri zaktualizuje wersję Log4j za pomocą standardowych poprawek konserwacyjnych, gdy wymagane interfejsy do obsługi Spark zostaną uwzględnione w wersji 2.17.x+.

ArcGIS Pro SAS-ArcGIS Bridge

• Chociaż dotąd nie wiadomo, czy jest narażony, użytkownicy mogą usunąć zagrożony plik jar Log4j-core z instalacji ArcGIS Pro, który można znaleźć tutaj: <ProInstall>/ArcGIS/Pro/bin/Python/envs/arcgispro-py3/Lib/site-packages/ saspy/java/iomclient/
• Powyższe działanie spowoduje wyłączenie możliwości korzystania z dwóch narzędzi geoprzetwarzania: SAS to Table oraz Table to SAS.
• Esri wyda poprawkę dla ArcGIS Pro 2.9.1 w styczniu 2022 roku dla tego komponentu, która odpowiada krytycznemu CVE Log4j ogłoszonemu w grudniu.

Rozszerzenia ArcGIS Desktop

Poniżej znajduje się podsumowanie opcjonalnych (nie domyślnych) rozszerzeń i ich status podatności:

ArcGIS Pro Data Interoperability Extension

• Ten produkt wykorzystuje komponenty z Safe Software, które zawiera Log4j, a dostawca jest przekonany, że ich implementacja nie jest podatna na lukę CVE-2021-44228.
• Firma Safe Software zaleca, aby klienci, którzy nadal obawiają się ryzyka, zaktualizowali Log4j do wersji 2.17.0. Należy zaktualizować każdy z czterech plików log4j w poniższej lokalizacji określonej przez Safe Software:

<DataInterOpExtInstall>/ArcGIS/Data Interoperability for ArcGIS Pro/plugins

 ArcMap Data Interoperability Extension

• Podstawowy składnik Log4j NIE zawiera klasy JMSAppender i dlatego NIE jest podatny na CVE.
• Esri będzie aktualizować wersję log4j za pomocą standardowych poprawek konserwacyjnych skierowanych do rozszerzenia Data Interoperability.

License Manager

Menedżer licencji Esri nie zawiera Log4j i dlatego NIE jest podatny na CVE.

Esri Geoportal Server

Ten produkt open source 17.12.2021 r. został zaktualizowany do wersji 2.65. Należy zaktualizować go do najnowszej wersji, aby rozwiązać problemy z Log4j.

Klientów korzystających z wersji ArcGIS Enterprise lub ArcGIS Server, które zostały wycofane lub znajdują się w fazie serwisowej, niegwarantującej poprawek, zachęca się do jak najszybszego uaktualnienia do wspieranych wersji.

Więcej informacji na stronie Esri Inc..