Vulnérabilité Log4j – SAP BI Platform

Mise à jour le 16/12/2021

Introduction

Une vulnérabilité très sévère (références CVE-2021-44228 et CVE-2021-45046) de la bibliothèque de journalisation d’Apache (Log4j) a été découverte le 10/12/2021. Elle concerne 2.0 à 2.14.1 de Log4j et même la version 2.15.0 qui devait corriger cette vulnérabilité. La version 1.x (obsolète) n’est pas concernée par cette vulnérabilité.

Bulletin d’alerte CERT-FR : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

Est-ce que cela impacte votre déploiement ?

  • SAP BusinessObjects BI Platform
  • les produits Wiiisdom (360)
  • Need4Viz

1) Produits SAP

Versions concernées

  • Toutes les versions de SAP BusinessObjects BI Platform 4.x
  • Les outils clients BI Platform
  • Crystal Reports
  • Live Office
  • Lumira Discovery, Server, Designer
  • BI Mobile

Cf. SAP Note 3129956 pour une liste exhaustive

Détails

Les déploiements SAP BusinessObjects BI Platforms ne sont pas impactés par cette vulnérabilité.
Elle ne concerne que le composant JNDI et celui-ci n’est pas utilisé par la plateforme.
Il n’y a donc aucune mise à jour à prévoir sur votre déploiement.
De manière générale, vous pouvez trouver toutes les vulnérabilités de logiciels tiers (CVE) qui n’impactent pas SAP BI Platform dans la SAP Note 2914574.

De plus, la plateforme BI ne contient aucun JAR log4J 2.x concerné par cette vulnérabilité.

Enfin, les versions de Java 8u121 et 8u191 contiennent des sécurités pour atténuer l’Exécution de Code Distant (Remote Execution Code) exploité par cette vulnérabilité. Pour cette raison, SAP recommande d’utiliser les versions BI 4.2 SP05 et supérieures qui embarquent au minimum la version Java 8u121 (Cf. SAP Note 2914488 pour plus de détails sur ces versions embarquées).

Références

2) Produits 360

360Suite

Pour la même raison que la suite SAP BI Platform, les produits 360Suite (360Eyes et 360 Web Platform) ne sont pas impactés par cette vulnérabilité.
Par contre, la version historique de 360 (360 Legacy) est impactée mais elle n’est plus supportée depuis le 30/09/2021

Wiiisdom Ops for Tableau

Wiiisdom Ops for Tableau est impacté sur un de ses services et l’éditeur est activement en train de corriger cela.

Correctifs

Une nouvelle version de tous les produits Wiiisdom vient d’être livrée.

Correctif produits Wiiisdom

Il est donc recommandé d’installer cette dernière version.

N’hésitez pas à aller sur le site de l’éditeur Customer Support Center pour suivre les communications au sujet des correctifs proposés ou pour discuter avec leur équipe de support si vous avez des questions.

3) Need4Viz (On-premise)

Need4Viz on-premise utilise une base MongoDB Community Edition.
Comme l’indique l’article sur le blog de MongoDB, cette édition n’est pas affectée par la vulnérabilité Log4Shell.

Références



Alerte Blog DeciVision Big

Laisser un commentaire

Enter your text here...




Webinar en collaboration avec SAP

Rendez-vous le mardi 05 juillet de 11h à 12h pour découvrir les futures nouveautés de la version SAP BusinessObjects BI 4.3 SP3 prévue pour la fin d'année !