Mise à jour du 16/12/2021 - 11:16
Bonjour,
Nos équipes analysent actuellement l’impact de la vulnérabilité CVE-2021-44228 Log4Shell/Log4j version 2.x dans ProConcept 11.1, 11.2 et 11.3.
Détail de la faille de sécurité : https://cve.report/CVE-2021-44228
Le code de ProConcept n’utilise pas cette librairie, le cœur de l’ERP n’est donc pas impacté dans ses versions 11.1, 11.2 et 11.3. (Les versions antérieures n’ont pas été analysées)
log4j version 2.x est cependant utilisé dans plusieurs composants externes :
1) Pour tous nos clients ProConcept 11.1 Web en version > 11.1.R.69
- le serveur d’impression SAP Crystal Report
- Workaround : Installer le hotfix du 15/12/2021 qui désactive log4j (voir avec le Customer Support)
2) Pour nos clients les ayant acquis :
- Oracle BI
En attendant que les fournisseurs proposent des correctifs, vous pouvez réduire le degré d'exposition à la vulnérabilité en vous assurant que ces composants ne sont pas accessibles depuis internet.
3) Composants concernés dans la base de données Oracle,
- Oracle Spatial and Graph
- Trace File Analyzer Collector (TFA)
Cependant, ces composants ne sont ni activés ni utilisés par ProConcept
Page d’information des fournisseurs :
- Moovapps https://mymoovapps.net/actualites/vulnerabilite-dans-apache-log4j
- Oracle https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
Cordialement,
ProConcept