Declaración sobre la vulnerabilidad "Log4j" de FocusPoint
Charles Robinson - Director de Tecnología, FocusPoint
En respuesta al posible impacto de la vulnerabilidad "Log4j" de Apache de código abierto en relación con FocusPoint, no hay ningún impacto en el sistema. FocusPoint se basa en la última pila .NET Core y, por lo tanto, no se ve afectado por esta vulnerabilidad.
Los componentes de SAP que soportan la integración deben ser evaluados por su SAP VAR, por favor vea el siguiente anexo publicado por SAP.
Detalles adicionales sobre la vulnerabilidad "Log4j":
La vulnerabilidad, referenciada como CVE-2021-44228 por el NIST I se describe de la siguiente manera: "Las características JNDI de Apache Log4j2 2.0-beta9 a 2.12.1 y 2.13.0 a 2.15.0 utilizadas en la configuración, mensajes de registro y parámetros no protegen contra LDAP controlado por atacantes y otros puntos finales relacionados con JNDI. Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de búsqueda de mensajes está activada. Desde la versión 2.15.0 de log4j, este comportamiento está deshabilitado por defecto. A partir de la versión 2.16.0, esta funcionalidad se ha eliminado por completo. Tenga en cuenta que esta vulnerabilidad es específica de log4j-core y no afecta a log4net, log4cxx u otros proyectos de Apache Logging Services."
Para más detalles sobre esta vulnerabilidad, consulte esta declaración de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras.
Presentado por el equipo de implementación de comercio electrónico B2B y B2c de FocusPoint: una solución todo en uno para los clientes de SAP Business One.