Bom dia.
Desde a versões estáveis do SankhyaOm até o momento que investiguei (Sankhya Om 4.9b55), há nessas versões a vulnerabilidade do Log4J reportada onde, segundo os sites oficiais, as vulnerabilidades englobam a versão 2 e ainda alguns cenários da versão 1. O SankhyaOm utiliza a versão 2.14 através do jar das libs log4j-api-2.14.1.jar e log4j-core-2.14.1.jar, ou seja, uma das versões com criticidade.
Só para resumir, através de comandos ao protocolo LDAP, é possível se conectar a determinado servidor e injetar códigos que roubariam a sessão e até mesmo as credenciais da máquina para acesso remoto. Seguem os links oficiais com as características sobre a vulnerabilidade:
CVE - CVE-2021-44228
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
CVE - CVE-2021-45046
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
Neste caso, a própria Apache reportou detalhes impactantes sobre a utilização da mesma para o controle de logs do sistema de logs:
https://logging.apache.org/log4j/2.x/security.html
Gostaria de saber qual o status do processo de patch do sistema para corrigir a vulnerabilidade do Log4J. Aliás, algo preocupante é o fato de já haverem inúmeros repositórios no Github com exploits para encontrar e auxiliar a exploração desse tipo de vulnerabilidade.
Andamento da correção:
Planejamento
Iniciada
Em andamento
Encerrada
0votantes
Atenção, este post está apenas visível para usuários com acesso administrativo maior do que 3, mas sugiro fazerem um report menos detalhado para TODOS OS USUÁRIOS sobre o comprometimento em atuar na segurança e estabilidade da plataforma Sankhya como um todo.
E lembrando que nem todos os clientes atualizam para a ultima versão estável, nesse caso, sendo necessário realizar a correção em multiplas versões major 4.7, 4.8, 4.9…
Agradeço a compreenção e tenham um bom dia.