Bonjour,
Nos équipes analysent actuellement l’impact de la vulnérabilité CVE-2021-44228 Log4Shell/Log4j version 2.x dans ProConcept 11.1, 11.2 et 11.3.
Détail de la faille de sécurité : https://cve.report/CVE-2021-44228
Le code de ProConcept n’utilise pas cette librairie, le cœur de l’ERP n’est donc pas impacté dans ses versions 11.1, 11.2 et 11.3. (Les versions antérieures n’ont pas été analysées)
log4j version 2.x est cependant utilisé dans plusieurs composants externes :
Pour tous nos clients ProConcept 11.1 Web
- le serveur d’impression SAP Crystal Report
- Workarround : Installer le hotfix du 15/12/2021 qui désactive log4j (voir avec le Customer Support)
Pour nos clients les ayant acquis :
- Oracle BI
- Moovapps Document (on-premise avec recherche fulltext)
Composants présents dans la base de données Oracle, mais pas activés et pas utilisés par ProConcept
- Oracle Spatial and Graph
- Trace File Analyzer Collector (TFA)
En attendant que les fournisseurs proposent des correctifs, vous pouvez réduire le degré d'exposition à la vulnérabilité en vous assurant que ces composants ne sont pas accessibles depuis internet.
Page d’information des fournisseurs :
- Moovapps https://mymoovapps.net/actualites/vulnerabilite-dans-apache-log4j
- Oracle https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
Cordialement,
ProConcept