BE-2022-0001: Wykorzystanie Log4j w komponencie RenderFarm dla SYNCHRO 4D Pro i SYNCHRO Pro
Identyfikator Bentley: BE-2022-0001
Identyfikator CVE: CVE-2021-44228
Poziom ważności: 10
CVSS v3.1: 3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Data publikacji: 17-02-2022
Data zmiany: 17-02-2022
Podsumowanie
Komponent RenderFarm programów SYNCHRO 4D Pro i SYNCHRO Pro zawiera wersję Log4j podatną na lukę Log4Shell.
Szczegóły
Użytkownicy komponentu RenderFarm w SYNCHRO 4D Pro i SYNCHRO Pro uruchamiający rozproszone renderowanie przez sieć mogą być narażeni na lukę Log4Shell opisaną w CVE-2021-44228, jeśli złośliwy napastnik może uzyskać dostęp do farmy renderującej użytkownika i wysłać do niej złośliwą zawartość.
Wersje, których dotyczy problem
| Aplikacje | Wersje, których dotyczy problem | Wersje zabezpieczone |
| SYNCHRO 4D Pro | Wersje wcześniejsze niż 6.4.3.2 | 6.4.3.2 i nowsze |
| SYNCHRO Pro | Wersje od 6.1 do 6.2.3 i 6.3 | 6.2.4.2 |
Zalecane środki zaradcze
Tylko bardzo niewielu naszych użytkowników korzysta z komponentu RenderFarm. Zagrożenie dotyczy tylko użytkowników komponentu. Zamieszczone tutaj instrukcje pozwalają w razie potrzeby bezpiecznie usunąć plik Log4j jar bez wpływu na funkcjonalność SYNCHRO 4D Pro i SYNCHRO Pro: https://communities.bentley.com/products/construction/w/construction__wiki/57908/ . Firma Bentley zaleca aktualizację do najnowszych wersji SYNCHRO 4D Pro, ponieważ nowa wersja nie zawiera już tego komponentu, a SYNCHRO 4D Pro jest produktem zastępującym SYNCHRO Pro.
Podziękowania
Historia zmian
| Data | Opis |
| 17-02-2022 | Pierwsza wersja poradnika |
