Oprogramowanie ArcGIS i CVE-2021-44228

gru 13, 2021

W związku z informacjami dotyczącymi nowej luki w zabezpieczeniach zidentyfikowanej jako CVE-2021-44228 (znanej również jako Log4Shell lub LogJam) firma Esri nadała wysoki priorytet badaniu jej wpływu na oprogramowanie i usługi ArcGIS.

_________________

Esri aktywnie bada wpływ następujących luk w bibliotece Log4j, ponieważ niektóre produkty Esri zawierają to popularne narzędzie. Aktualizacje oprogramowania eliminujące podatność są sukcesywnie udostępniane do pobrania pod TYM adresem.

Niniejszy artykuł zawiera najnowsze informacje o produktach Esri i będzie aktualizowany w miarę pojawiania się nowych informacji.

Joint Cybersecurity Advisory, reprezentujący organizacje zajmujące się cyberbezpieczeństwem na całym świecie, opublikowało dokument zawierający przydatne podsumowanie wskazówek dotyczących ograniczania luk w zabezpieczeniach Log4j, z których klienci mogą korzystać, oprócz naszych zaleceń dotyczących konkretnych produktów. Dwa aspekty, których wdrożenie powinna rozważyć Twoja organizacja, to mechanizmy ostrzegania i blokowania dotyczące tego problemu. Aby ułatwić wdrożenie zalecanego mechanizmu blokowania przy użyciu zapory aplikacji Web (WAF), przygotowano przewodnik dotyczący reguł filtrowania aplikacji Web, który znajduje się w dokumentacji dostępnej dla klienta w ArcGIS Trust Center.

Należy pamiętać, że nasze środki zaradcze są zgodne z dyrektywą: Emergency Directive 22-02 Mitigate Apache Log4 Vulnerability.

 

ArcGIS Enterprise

Część produktów wchodzących w skład platformy ArcGIS Enterprise zawiera podatną bibliotekę log4j, jednak nie dysponujemy wiedzą o istnieniu narzędzia wykorzystującego ten wektor ataku dla żadnej wersji podstawowego wdrożenia ArcGIS Enterprise (w tym ArcGIS Server, Portal for ArcGIS i ArcGIS Data Store) lub samodzielnego wdrożenia ArcGIS Server.

Firma Esri oceniła potencjalny wpływ podatności CVE-2021-45105 na ataki typu „odmowa usługi” w Portal for ArcGIS, ArcGIS Server i ArcGIS Data Store i ustaliła, że te komponenty oprogramowania nie udostępniają wektorów pozwalających na przeprowadzenie ataku.

Esri opracowało zestaw skryptów, których zastosowanie ogranicza możliwość wykorzystania luki Log4Shell. Zdecydowanie zaleca się zastosować je do wszystkich instalacji ArcGIS Enterprise i ArcGIS Server w dowolnej wersji oprogramowania. Skrypty usuwają klasę JndiLookup, bezpośrednio odpowiedzialną za opisaną wcześniej podatność. Operacja ta nie wymaga aktualizacji wersji Log4j, a jej wykonanie ograniczy możliwość wykorzystania podatności oznaczonych jako CVE-2021-44228 i CVE-2021-45046. Skrypty zostały zweryfikowane dla wersji 10.6 i nowszych, jednak powinny działać również w starszych wersjach ArcGIS Enterprise i ArcGIS Server. Oddzielne szczegółowe instrukcje i skrypty są dostępne dla:

Uwagi:

  • Po zastosowaniu skryptów w systemie nadal będą obecne biblioteki Log4j w wersji zawierające lukę, jednak niebezpieczny kod został usunięty.
  • We wdrożeniu podstawowymArcGIS Enterprise nie są wykorzystywane klasy Log4j 1.2 JMSAppender i Log4j 2.x JDBCAppender,   dlatego rozwiązanie nie jest podatne na podatnośći oznaczone CVE-2021-4104 oraz CVE-2021-44832
  • ArcGIS WebAdaptor nie wykorzystuje bibliotek Log4j.
  • Opublikowane wyżej skrypty są tymczasowym środkiem zaradczym, jednak zdecydowanie zachęcamy do ich niezwłocznego zastosowania.
  • Trwają prace nad przygotowaniem uaktualnień produktów ArcGIS Enterprise niwelujących wpływ tej podatności. Kolejne informacje będą podawane do publicznej wiadomości tak szybko jak to możliwe, jednak nie należy zwlekać z zastosowaniem opisanej wyżej metody.

ArcGIS Notebook Server

Produkt składa się z dwóch części: podstawowej struktury  (framework) i obrazu kontenera Docker:

  • Struktura podstawowa nie zawiera Log4j, z wyjątkiem wersji 10.7.x produktu, która NIE zawiera podatnej na ataki klasy JMSAppender i dlatego NIE jest podatna na wyżej opisane ryzyka.
  • Obraz kontenera Docker zawiera Log4j, jednak, aby użytkownik mógł skorzystać z komponentu, musiałaby mieć uprawnienia do kontenera notatnika, więc Log4j nie stanowi dodatkowego ryzyka RCE w tej konfiguracji. Poprawki do obrazów kontenerów Docker będą wkrótce udostępniane.

ArcGIS Online

Esri kontynuuje wprowadzanie poprawek do systemów ArcGIS Online, w tym aktualizacji do najnowszej wersji log4j 2.17 i kontynuuje ocenę CVE, a także wszystkich odpowiednich poprawek innych firm, gdy tylko staną się one dostępne.

 

ArcMap

Nie zawiera Log4j i dlatego nie jest podatny na CVE. Zobacz sekcję Rozszerzenia ArcGIS Desktop , jeśli korzystasz z opcjonalnych rozszerzeń.

 

ArcGIS Monitor

Ten produkt nie zawiera Log4j i dlatego nie jest podatny na ten problem.

 

ArcGIS Pro

Wszystkie wersje ArcGIS Pro objęte wsparciem General Availability zawierają Log4j, jednak sposób ich implementacji nie pozwala na wykorzystanie podatności CVE-2021-44228, gdyż oprogramowanie nie nasłuchuje połączeń przychodzących. ArcGIS Pro zawiera domyślnie Log4j, aby obsługiwać dwa obszary funkcjonalne:

ArcGIS Pro GeoAnalytics Desktop Tools

  • Podstawowy składnik Log4j NIE zawiera klasy JMSAppender i dlatego NIE jest podatny na CVE.
  • Esri zaktualizuje wersję Log4j za pomocą standardowych poprawek konserwacyjnych, gdy wymagane interfejsy do obsługi Spark zostaną uwzględnione w wersji 2.17.x+.

ArcGIS Pro SAS-ArcGIS Bridge

  • Chociaż dotąd nie wiadomo, czy jest narażony, użytkownicy mogą usunąć zagrożony plik jar Log4j-core z instalacji ArcGIS Pro, który można znaleźć tutaj: <ProInstall>/ArcGIS/Pro/bin/Python/envs/arcgispro-py3/Lib/site-packages/ saspy/java/iomclient/
  • Powyższe działanie spowoduje wyłączenie możliwości korzystania z dwóch narzędzi geoprzetwarzania: SAS to Table oraz Table to SAS.
  • Esri wyda poprawkę dla ArcGIS Pro 2.9.1 w styczniu 2022 roku dla tego komponentu, która odpowiada krytycznemu CVE Log4j ogłoszonemu w grudniu.

Rozszerzenia ArcGIS Desktop

Poniżej znajduje się podsumowanie opcjonalnych (nie domyślnych) rozszerzeń i ich status podatności:

ArcGIS Pro Data Interoperability Extension

<DataInterOpExtInstall>/ArcGIS/Data Interoperability for ArcGIS Pro/plugins

 ArcMap Data Interoperability Extension

  • Podstawowy składnik Log4j NIE zawiera klasy JMSAppender i dlatego NIE jest podatny na CVE.
  • Esri będzie aktualizować wersję log4j za pomocą standardowych poprawek konserwacyjnych skierowanych do rozszerzenia Data Interoperability.

License Manager

Menedżer licencji Esri nie zawiera Log4j i dlatego NIE jest podatny na CVE.

 

Esri Geoportal Server

Ten produkt open source 17.12.2021 r. został zaktualizowany do wersji 2.65. Należy zaktualizować go do najnowszej wersji, aby rozwiązać problemy z Log4j.

 

Klientów korzystających z wersji ArcGIS Enterprise lub ArcGIS Server, które zostały wycofane lub znajdują się w fazie serwisowej, niegwarantującej poprawek, zachęca się do jak najszybszego uaktualnienia do wspieranych wersji.

Więcej informacji na stronie Esri Inc..

Dowiedz się więcej

Inne wpisy

Nagrody SAG rozdane, Polska Spółka Gazownictwa nagrodzona!

Nagrody SAG rozdane, Polska Spółka Gazownictwa nagrodzona!

Polska Spółka Gazownictwa laureatem prestiżowej nagrody SAG (Special Achievement in GIS Award) Polska Spółka Gazownictwa Sp. z o.o. została uhonorowana nagrodą Special Achievement in GIS Award (SAG) podczas tegorocznej edycji Esri User Conference w San Diego....

Esri Polska w gronie laureatów Diamentów Forbes 2025

Esri Polska w gronie laureatów Diamentów Forbes 2025

Esri Polska w gronie laureatów Diamentów Forbes 2024 Esri Polska, lider w dziedzinie systemów informacji geograficznej (GIS), znalazło się w prestiżowym gronie laureatów rankingu Diamenty Forbes 2024, wyróżniającego najszybciej rozwijające się firmy w Polsce. Spółka...

Kongres GIS 2025 Dotknij Przestrzeni- Największe wydarzenie w branży!

Kongres GIS 2025 Dotknij Przestrzeni- Największe wydarzenie w branży!

Już w maju zapraszamy na dwudniowy Kongres GIS 2025 Dotknij Przestrzeni! To wyjątkowa okazja do wymiany doświadczeń oraz zdobycia wiedzy na temat najnowszych trendów i innowacyjnych technologii kształtujących przyszłość. Bez względu na to, czy reprezentujesz biznes,...

0
    0
    Twój koszyk
    Twój koszyk jest pustyWróć do sklepu