Correctifs pour les vulnérabilités critiques (CVE-2021-44832, -45105, -45046 et-44228)

La fenêtre App Analysis d'Analytics utilise Apache Log4j. Par conséquent, elle est affectée par les vulnérabilités critiques Log4j ci-dessous, même si la vulnérabilité réelle d'Analytics est faible.

• CVE-2021-44832
• CVE-2021-45105
• CVE-2021-45046
• CVE-2021-44228

Cette liste de vulnérabilités s'est allongée, car il est apparu que les correctifs précédents étaient incomplets. Nous disposons d'un correctif qui atténuera immédiatement toutes les vulnérabilités ci-dessus dans Analytics.

Vos options

Même si le risque pour les utilisateurs d'Analytics est faible, nous recommandons d'y remédier au moyen d'une des options suivantes :

• Effectuer la mise à niveau vers Analytics 15.1.1Pour plus d'informations, voir Guide d'activation et d'installation d'ACL pour Windows.

• Corriger manuellement votre version existante d'AnalyticsVous trouverez de plus amples informations et des instructions ci-dessous.

Qu'est-ce que ce correctif ?

Ce correctif est une version officielle d'Apache, le fournisseur de Log4j : Il atténuera CVE-2021-44832, CVE-2021-45105, CVE-2021-45046, CVE-2021-44228 immédiatement dans Analytics.

Quelles versions d'Analytics sont vulnérables ?

Même si le risque est faible, toutes les versions d'Analytics, y compris la version 15.1.0, sont affectées. Quelle que soit la version que vous avez installé, nous recommandons soit d'effectuer la mise à niveau vers la version la plus récente d'Analytics, qui est la version 15.1.1, ou de corriger manuellement votre version actuelle d'Analytics dès maintenant.

Comment installer le correctif

Ce correctif doit être installé individuellement sur chaque ordinateur équipé d'Analytics. Vous pouvez l'installer à l'aide d'un script de traitement par lots ou manuellement.

Si vous avez une autre version d'Analytics installée sur le même ordinateur, vous devez appliquer le correctif à toutes les versions installées séparément.

Méthode du script de traitement par lots

Appliquez cette méthode uniquement si Analytics est installé à son emplacement par défaut (C:\Program Files (x86)\ACL Software\ACL for Windows <<version>>). Si Analytics est installé ailleurs, suivez la méthode manuelle décrite ci-dessous.

1. Fermez Analytics et ACL pour Windows s'ils sont ouverts.
2. Téléchargez ce dossier compressé sur votre ordinateur.
3. Décompressez-le à l'emplacement de votre choix, par exemple C:/temp/patch.
4. Ouvrez une fenêtre Windows PowerShell en mode administrateur.
5. Accédez au dossier que vous venez de créer. Par exemple, si vous l'avez décompressé dans C:/temp/patch, tapez :
   

   cd c:\temp\patch

6. Exécutez le script de traitement par lots dans le dossier que vous avez décompressé.
   

   .\do_replace.bat

Méthode manuelle

1. Fermez Analytics et ACL pour Windows s'ils sont ouverts.
2. Téléchargez ce dossier compressé sur votre ordinateur.
3. Décompressez le dossier.
4. Accédez au dossier où ACL pour Windows est installé. Par exemple, C:\Program Files (x86)\ACL Software\ACL for Windows 15.
5. Ouvrez le dossier ACL App.
6. Remplacez acl-service.ini par la nouvelle version de ce fichier, que vous venez de télécharger.
7. Ouvrez le dossier lib.
8. Remplacez les quatre fichiers *.jar ci-dessous par les nouvelles versions que vous venez de télécharger. Le nom de fichier des nouvelles versions contient 2.17.1.
   • log4j-1.2-api-2.8.2.jar
   • log4j-api-2.8.2.jar
   • log4j-core-2.8.2.jar
   • log4j-slf4j-impl-2.8.2.jar

Il peut également être nécessaire d'appliquer le correctif à Analytics Exchange.

Si votre organisation utilise Analytics Exchange, un administrateur système devra également appliquer le correctif ou procéder à la mise à niveau. Reportez-vous aux instructions du correctif pour Analytics Exchange.