VULNÉRABILITÉ LOG4J
Process Fusion est conscient de la gravité et de la grande surface d’attaque de la vulnérabilité Apache Log4j2. La menace de vulnérabilité d’exécution de code à distance (RCE) pourrait potentiellement affecter Java et certaines applications .Net.
Nous surveillons activement ce problème et travaillons avec nos partenaires fournisseurs pour évaluer l’impact et toute correction requise.
Avant la fin de notre évaluation, veuillez vous assurer que votre défense de périmètre existante est active et à jour pour empêcher toute entrée non autorisée dans votre réseau. Le personnel doit toujours être vigilant pour éviter les cyberattaques telles que le phishing et les attaques d’ingénierie sociale.
Nous fournirons d’autres mises à jour au fur et à mesure que des informations supplémentaires seront disponibles.
Mise à jour du 14 décembre :
Process Fusion a examiné nos produits, notre environnement de production et les produits pris en charge par des tiers pour une exposition à la vulnérabilité Log4J (CVE-2021-44228). Vous trouverez ci-dessous une mise à jour intermédiaire sur l’état de la vulnérabilité :
Produits et infrastructure de fusion de processus
- Nos produits cloud, CapturePoint et UniPrint InfinityCloud ont un composant affecté qui a été corrigé pour bloquer l’exploit. Les deux produits ont été corrigés.
- Nos produits sur site, CapturePoint et UniPrint Infinity ne sont PAS concernés.
- Nos applications UniPrint vPad et mobiles ne sont PAS affectées.
- Notre infrastructure de services gérés, y compris les outils de gestion à distance et de sécurité tiers, n’est PAS affectée ou a été corrigée pour bloquer l’exploit. Les défenses du périmètre fonctionnent normalement.
Vous trouverez ci-dessous une évaluation d’impact fournie par les fournisseurs respectifs de nos produits pris en charge **
- Xerox DocuShare et DocuShare Flex – certaines versions sont concernées. Voir les détails ici – https://help.carear.com/hc/en-us/articles/4415942561175=
- OpenText RightFax – en utilisant log4j v1.x, l’enquête se poursuit
- Abbyy – Deux composants sont concernés parmi les produits d’Abbyy
− Connecteur SGBD pour ABBYY Timeline. Bien que le produit de base global d’ABBYY Timeline ne soit pas affecté par la vulnérabilité log4j, un composant auxiliaire – un connecteur DB – utilise log4j. ABBYY développe activement un correctif pour remédier à cette vulnérabilité le plus rapidement possible et contacte les clients concernés. En attendant, les clients peuvent exécuter la commande suivante pour résoudre le problème : « -Dlog4j2.formatMsgNoLookups=true ».
− Connecteur ABBYY FlexiCapture pour Pega. Alors que le produit principal ABBYY FlexiCapture n’est pas affecté, le connecteur FlexiCapture pour Pega est affecté par la vulnérabilité. ABBYY développe activement un correctif pour remédier à cette vulnérabilité le plus rapidement possible et contacte les clients concernés.
