Dernière mise à jour : 28 octobre 2022
Mise à jour 2022-10-28
Mise à jour de la vulnérabilité du texte commun d'Apache.
Iptor Product Development a publié une nouvelle version de XTUI, appelée 4.5.1.6.
La bibliothèque de texte commune Apache a été remplacée par la version 1.10.
Veuillez contacter votre contact principal ou le support d'Iptor si vous souhaitez que la nouvelle version soit installée.
Parallèlement au développement de notre propre nouvelle version, nous avons également interrogé nos partenaires sur leurs logiciels.
Actuellement, j'ai cette liste de logiciels partenaires d'Iptor.
Toutes les réponses sont basées sur la dernière version du logiciel de chaque partenaire, sauf indication contraire.
| Partenaire | Impact de la vulnérabilité d'Apache | |
| Qlik | En attente de réponse | |
| Adobe | AEM 6.5 n'est pas impacté | |
| Interform | La dernière version n'est pas affectée | |
| Corzia | La dernière version n'est pas affectée | |
| Médius | Les modules AP et Capture ne sont pas affectés | |
| Nextway | La dernière version n'est pas affectée | |
| NiFi | Impactés, ils travaillent sur une mise à jour | |
| Xtellus | En attente de réponse |
Si vous avez d'autres questions sur les logiciels de nos partenaires concernant cette vulnérabilité, veuillez contacter le support d'Iptor.
Mise à jour 2022-10-24
Mise à jour de la vulnérabilité d'Apache Common Text.
Le plan d'action d'atténuation est maintenant prêt.
Le PDF peut être téléchargé ici.
Notez que ces instructions concernent la version 4.5.x de XTUI et non les versions antérieures.
Iptor recommande de toujours utiliser la dernière version.
Si vous avez des questions sur la manière de suivre les instructions, veuillez contacter le support d'Iptor.
Mise à jour 2022-10-21
Mise à jour de la vulnérabilité du texte commun d'Apache
Le travail sur le plan d'action d'atténuation progresse. Nous pensons toujours qu'il devrait être disponible lundi. Il se peut que nous ayons besoin de toute la journée de lundi pour effectuer des tests, mais je suis convaincu qu'il devrait être disponible lundi.
Nouvelle version de XT.
Notre directeur général nous a confirmé qu'une nouvelle version, dans laquelle la vulnérabilité du texte commun a été supprimée, sera disponible la semaine prochaine.
Gardez un œil sur cette page pour savoir quand il sera publié.
J'ai reçu quelques questions concernant les anciennes versions de XT.
La clarification à ce sujet est qu'Iptor ne créera un plan d'action d'atténuation que pour la version la plus récente, 4.5.
Les versions plus anciennes auraient dû être mises à jour car elles sont vulnérables en raison de leur ancienneté.
Iptor recommande de toujours passer à la version la plus récente.
Des questions ont également été posées sur l'interface Web de l'XT.
La vulnérabilité se trouve dans l'installation de XT. L'utilisation de l'interface web signifie que la vulnérabilité réside sur le serveur qui exécute XT et doit être gérée à cet endroit.
Si vous utilisez l'interface web, cela signifie que vous devez examiner les règles d'accès pour déterminer le risque de sécurité pour votre organisation.
L'application XT vous offre plusieurs options différentes pour accéder à l'application et Iptor publiera une nouvelle version dans laquelle cette vulnérabilité aura été supprimée, quelle que soit la manière dont vous utilisez XT. L'évaluation des risques doit être effectuée pour chaque environnement et en tenant compte de la manière dont l'accès à XT est structuré et des protections mises en place pour cet accès.
Mise à jour 2022-10-20
Mise à jour de la vulnérabilité du texte commun d'Apache
Les équipes d'Iptor ont travaillé d'arrache-pied sur les plans d'action d'atténuation et sur la livraison de la nouvelle version XT.
Le plan d'action d'atténuation devrait être testé et vérifié cette semaine et sera mis à la disposition des clients lundi.
La nouvelle version de XT est encore en phase de planification et une date de livraison sera annoncée très prochainement.
Iptor a également sécurisé l'application XT sous les plateformes Iptor.com et Iptor 1
La vulnérabilité Apache Common Text a fait l'objet de discussions dans divers forums au cours des deux ou trois derniers jours et Iptor a mis à jour le risque de sécurité dans cette situation.
La vulnérabilité concerne l'injection possible de code et, par ce biais, l'accès à un serveur. Si cette faille est exploitée, l'attaquant peut alors se déplacer dans l'infrastructure et potentiellement accéder à l'ensemble de l'environnement de l'entreprise.
La vulnérabilité est toujours considérée comme critique (9,8), mais le risque de sécurité concerne également la possibilité d'une utilisation malveillante.
Les instructions relatives à l'utilisation de cette vulnérabilité sont disponibles sur l'internet et ne nécessitent pas de compétences avancées en matière de piratage.
En même temps, le pirate doit avoir accès à l'endroit où l'application est installée et savoir comment l'application utilise la bibliothèque de texte commune Apache.
Cela signifie que si l'application vulnérable que vous avez dans votre environnement est à usage interne uniquement et se trouve derrière un pare-feu, un EDR, un IPS et une protection IDS, l'attaquant doit d'abord franchir ces défenses avant de pouvoir exploiter cette vulnérabilité.
Dans ce scénario, le risque de sécurité est plus faible que si l'application que vous avez est exposée à l'internet et que n'importe qui peut tirer parti de cette vulnérabilité.
Le risque de sécurité global doit être évalué par chaque organisation elle-même et toutes les actions doivent être alignées sur le risque de sécurité résultant de chaque évaluation.
La recommandation d'Iptor est de s'assurer que la vulnérabilité est d'abord bloquée ou atténuée par des mesures de sécurité standard telles que les pare-feu, EDR, IPS et IDS.
Deuxièmement, nous recommandons de supprimer la partie vulnérable de l'application si possible. Pour Iptor XTUI, nous fournirons un plan d'action d'atténuation lundi.
Le moyen le plus sûr est de mettre à jour et de toujours utiliser la dernière version. Pour XTUI, nous communiquerons prochainement une date à laquelle une nouvelle version de XT sera disponible, dans laquelle la vulnérabilité d'Apache n'est pas présente.
Mise à jour 2022-10-19
Réponse d'Iptor à la vulnérabilité du texte commun d'Apache (CVE-2022-42889)
Une nouvelle vulnérabilité a été découverte dans la bibliothèque java Apache Common text.
Cette vulnérabilité permet l'exécution de code à distance par des utilisateurs non autorisés.
Iptor a un nombre limité de produits utilisant du code java. Cette bibliothèque Java vulnérable n'est utilisée que dans notre application d'interface utilisateur XT :
Jusqu'à présent, aucun autre produit n'a été identifié comme contenant cette vulnérabilité, mais nous continuons à scanner et à vérifier toutes les versions de toutes nos applications basées sur Java, nous avons une équipe qui travaille dur pour trouver des moyens d'atténuer cette vulnérabilité parallèlement au développement d'une nouvelle version de XT qui aura une version sécurisée vérifiée de la bibliothèque Java vulnérable.
Des nouvelles sur les progrès seront affichées sur cette page web.
Veuillez ne pas enregistrer d'incident à ce sujet car nous sommes conscients de la vulnérabilité et n'avons pas de solution pour l'instant.
Dès qu'un plan d'atténuation aura été vérifié, nous contacterons tous les utilisateurs de XT dont nous avons connaissance pour leur communiquer l'information. Vous trouverez également ce plan d'atténuation sur cette page web.
Dès qu'une nouvelle version de XT est disponible, nous vous recommandons de mettre à jour votre version actuelle.
Si vous avez des questions ou des préoccupations à ce sujet, veuillez contacter [email protected] ou votre gestionnaire de compte. Iptor considère la sécurité et la fiabilité comme des priorités absolues pour ses clients.
Cette page sera mise à jour au fur et à mesure que de nouvelles informations seront disponibles.
