Déclaration de FocusPoint sur la vulnérabilité de "Log4j".
Charles Robinson - Directeur de la technologie, FocusPoint
En réponse à l'impact potentiel de la vulnérabilité open-source Apache "Log4j" sur FocusPoint, il n'y a aucun impact sur le système. FocusPoint est construit sur la dernière pile .NET Core et n'est donc pas affecté par cette vulnérabilité.
Les composants de SAP qui prennent en charge l'intégration doivent être évalués par votre VAR SAP. Veuillez consulter la pièce jointe suivante publiée par SAP.
Détails supplémentaires sur la vulnérabilité "Log4j" :
La vulnérabilité, référencée CVE-2021-44228 par le NIST, est décrite comme suit : "Les fonctionnalités JNDI d'Apache Log4j2 2.0-beta9 à 2.12.1 et 2.13.0 à 2.15.0 utilisées dans la configuration, les messages de journal et les paramètres ne protègent pas contre le contrôle par un attaquant de LDAP et d'autres points de terminaison liés à JNDI. Un attaquant qui peut contrôler les messages de journal ou les paramètres des messages de journal peut exécuter du code arbitraire chargé à partir de serveurs LDAP lorsque la substitution de recherche de message est activée. Depuis la version 2.15.0 de log4j, ce comportement a été désactivé par défaut. A partir de la version 2.16.0, cette fonctionnalité a été complètement supprimée. Notez que cette vulnérabilité est spécifique à log4j-core et n'affecte pas log4net, log4cxx, ou d'autres projets Apache Logging Services."
Pour plus de détails sur cette vulnérabilité, veuillez vous référer à cette déclaration de la Cybersecurity & Infrastructure Security Agency.
Proposé par l'équipe de mise en œuvre du commerce électronique B2B et B2c de FocusPoint : une solution tout-en-un pour les clients de SAP Business One.