לאחרונה התגלתה פגיעות בתוכנת Apache הפרושה באופן נרחב במגוון חברות בתחום ה-IT והתכנה.
השימוש ברכיב צד ג', האפאצ'י, נעשה באופן מזערי במוצרי Solarwinds.
המוצרים שעושים שימוש ברכיב זה הם המודול לניטור שרתים ואפליקציות של פלטפורמת ה-ORION (SAM),
והמוצר לניטור מעמיק של בסיסי נתונים (DPA).
כל יתר המוצרים בסוויטה של Solarwinds אינם מושפעים מהפגיעות שגולתה.
בהתאם למדיניות היצרן וכפי שנהג עד כה במקרים בהם התגלו פרצות אבטחה או פגיעויות המשפיעות על מוצריו,
כל מידע חדש או הנחייה יעודכנו באופן שוטף בעמוד ה- Security Advisory באתר הרשמי של היצרן.
המידע הרשמי על הפגיעות ב- Apache Log4J Version 2.1.5.0 מפורטת בקישורים הבאים:
- https://www.cisa.gov/uscert/ncas/current-activity/2021/12/10/apache-releases-log4j-version-2150-address-critical-rce
- https://logging.apache.org/log4j/2.x/security.html
- https://www.solarwinds.com/trust-center/security-advisories/cve-2021-44228
במידה וה-SAM או ה-DPA מותקנים בסביבה שלכם, אנא עקבו אחר ההנחיות הבאות:
Server And Application Monitor (SAM)
ה-SAM עושה שימוש ב-Apache Log4J בגרסה 2.14, אך משתמש בגרסה חדשה יותר של Java (JDK 16), אשר ידוע כרגע שיש חשד שהיא מושפעת מה- Log4J Vulnerability.
תיקון הכולל גרסה מעודכנת של Log4J צפוי לצאת בקרוב.
בינתיים, אנא עקבו אחר המאמר הבא שמציע Workaround שיש ליישם באופן מיידי:
Database Performance Analyzer (DPA)
ה-DPA עושה שימוש בגרסת Java ישנה יותר (JDK15), עובדה זו עשויה להוריד מעט את רמת הסיכון מ-Log4J Vulneraility.
אם יש ברשותכם גרסה ישנה של DPA ואתם לא יכולים לשדרג לגרסה האחרונה, אתם יכולים לבצע שדרוג לגרסת ה-Java,
אנא עקבו אחר ההנחיות בקישור המצורף:
Solarwinds מייעצת ללקוחותיה להשתמש ב- DPA Secure Configuration Guide: Best Practices and Recommendations
עדכון לגרסה חדשה של Apache Log4J עתיד לצאת בקרוב.
אנא עקבו אחר ה- Workaround שיש להטמיע באופן מיידי:
לכל שאלה נוספת נשמח לעמוד לצידכם,
פרולוגי'ק – המפיצה הרשמית של מוצרי SolarWinds בישראל