Declaración sobre la vulnerabilidad «Log4j» de FocusPoint
Charles Robinson – Director de Tecnología, FocusPoint
En respuesta al posible impacto de la vulnerabilidad del código abierto Apache «Log4j» en relación con FocusPoint, no hay ningún impacto en el sistema. FocusPoint se basa en la última pila .NET Core y, por lo tanto, no se ve afectado por esta vulnerabilidad.
Los componentes de SAP que admiten la integración deben ser evaluados por su VAR de SAP. Consulte el siguiente archivo adjunto publicado por SAP.
Detalles adicionales sobre la vulnerabilidad «Log4j»:
La vulnerabilidad, referenciada comoCVE-2021-44228por el NIST, la describí de la siguiente manera: «Las funciones JNDI de Apache Log4j2 2.0-beta9 a 2.12.1 y 2.13.0 a 2.15.0 utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por atacantes y otros puntos finales relacionados con JNDI. Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está habilitada. A partir de log4j 2.15.0, este comportamiento se ha deshabilitado de forma predeterminada. A partir de la versión 2.16.0, esta funcionalidad se ha eliminado por completo. Tenga en cuenta que esta vulnerabilidad es específica de log4j-core y no afecta a log4net, log4cxx ni a otros proyectos de Apache Logging Services».
Para obtener más información sobre esta vulnerabilidad, consulteesta declaraciónde la Agencia de Seguridad Cibernética y de Infraestructuras.
Presentado por el equipo de implementación de comercio electrónico B2B y B2C de FocusPoint: una solución integral para los clientes de SAP Business One.
