Az elmúlt napokban jelentkező, CVE-2021-44228 azonosítóval megjelölt, Apache log4j sérülékenység ESRI szoftverekre vonatkozó érintettsége és a javítás módja 2021.12.16-val az alábbiakra változott.
Az ESRI kiadott egy python szkriptet, amelyet le lehet tölteni és a megadott leírás szerint futtatni minden, megadott verziójú kiszolgálón.
Ez a szkript eltávolítja az egyes szoftverekből az érintett problémát okozó JndiLookup osztályt.
Az érintett szoftver komponensek és telepítési leírás:
- ArcGIS Server: https://support.esri.com/Technical-Article/000026951
- Portal for ArcGIS: https://support.esri.com/Technical-Article/000026950
- ArcGIS Data Store: https://support.esri.com/Technical-Article/000026949
- ArcGIS GeoEvent Server https://support.esri.com/Technical-Article/000026956
Érintett verziók: 10.6, 10.6.1, 10.7, 10.7.1, 10.8, 10.8.1, 10.9, 10.9.1
A szkriptnek a 10.6-os verziónál régebbi környezetben is működnie kell, de ezen verziókra az nem validált.
A megadott javítástól függetlenül továbbra is javasolt az érintett kiszolgálók további védelmének biztosítása
Web Application Firewall (WAF) vagy egyéb védelmi megoldással. WAF esetében alkalmazandó szabály:
- Szabály típusa: Blokk HTTP/HTTPS requests
- Match: String
- Match: Querystring, RequestMethod, RequestUri, PostArgs, RequestCookies
- Operator: Contains
- Transformation: Trim, Lowercase
- Match values: ${jndi
A CVE-2021-44228 sérülékenységről bővebb információt az alábbi oldalon találhat:
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
A sérülékenység ArcGIS Enterprise oldali érintettségéről információt bővebben az alábbi oldalon találhat:
