Aplique el parche para vulnerabilidades de seguridad críticas (CVE-2021-44832, -45105, -45046 y -44228)

La ventana Aplicación de análisis de Analytics utiliza Apache Log4j. Como resultado de esto, se ve afectado por las vulnerabilidades de seguridad críticas de Log4j que se incluyen a continuación, aunque la vulnerabilidad real para Analytics es baja:

• CVE-2021-44832
• CVE-2021-45105
• CVE-2021-45046
• CVE-2021-44228

Esta lista de vulnerabilidades ha crecido porque los parches anteriores no eran completos. Contamos con un parche que mitigará de forma inmediata todas las vulnerabilidades anteriores en Analytics.

Sus opciones

Aunque el riesgo para los usuarios de Analytics es bajo, recomendamos abordar la situación de vulnerabilidad utilizando alguna de las siguientes opciones:

• Actualizar a Analytics 18.0 Si desea obtener más información, consulte Guía de instalación y activación de ACL para Windows.Analytics

• Aplicar manualmente el parche a su versión existente de Analytics Más adelante, se incluyen más instrucciones e información.Analytics

¿Qué es este parche?

Este parche es un lanzamiento oficial de Apache, proveedor de Log4j. Mitigará de forma inmediata las vulnerabilidades CVE-2021-44832, CVE-2021-45105, CVE-2021-45046, CVE-2021-44228 en Analytics.

¿Qué versiones de Analytics son vulnerables?

Si bien el riesgo es bajo, todas las versiones de Analytics (hasta la versión 15.1.0 inclusive) se ven afectadas. Sin importar qué versión haya instalado, le recomendamos actualizar a la última versión de Analytics, que es la versión 18.0, o aplicar un parche de forma inmediata y manualmente a su versión existente de Analytics.

Cómo instalar el parche

Es necesario instalar este parche en cada computadora en la que esté instalado Analytics. Puede instalarlo manualmente o por medio de un script de lote.

Si cuenta con más de una versión de Analytics instalada en simultáneo, debe aplicar el parche a todas las versiones instaladas de forma independiente.

Método de script de lote

Utilice este método únicamente si Analytics está instalado en la ubicación predeterminada (C:\Program Files (x86)\ACL Software\ACL for Windows <<versión>>). Si Analytics está instalado en otra ubicación, use el método manual que se describe a continuación.

1. Si Analytics y ACL para Windows están abiertos, ciérrelos.
2. Descargue la carpeta comprimida en su computadora.
3. Descomprima la carpeta en una ubicación simple, como C:/temp/patch.
4. Abra el símbolo del sistema de Windows en el modo administrador.
5. Vaya a la carpeta que acaba de crear. Por ejemplo, si descomprimió el archivo en C:/temp/patch, escriba lo siguiente:
   

   cd c:\temp\patch

6. Ejecute el script de lote desde la carpeta que descomprimió.
   

   .\do_replace.bat

Método manual

1. Si Analytics y ACL para Windows están abiertos, ciérrelos.
2. Descargue la carpeta comprimida en su computadora.
3. Descomprima la carpeta.
4. Vaya a la carpeta donde está instalado ACL para Windows. Por ejemplo, C:\Program Files (x86)\ACL Software\ACL for Windows 15.
5. Abra la carpeta de la Aplicación de ACL.
6. Cambie acl-service.ini por la nueva versión de ese archivo, que acaba de descargar.
7. Abra la carpeta lib.
8. Reemplace los cuatro archivos *.jar incluidos a continuación por las nuevas versiones de esos archivos que acaba de descargar. Las nuevas versiones tienen el número 2.17.1 en el nombre del archivo.
   • log4j-1.2-api-2.8.2.jar
   • log4j-api-2.8.2.jar
   • log4j-core-2.8.2.jar
   • log4j-slf4j-impl-2.8.2.jar

Es posible que también deba aplicar el parche a Analytics Exchange

Si su organización utiliza Analytics Exchange, un administrador del sistema debería aplicarle el parche o actualizarlo. Consulte las instrucciones para aplicar al parche a Analytics Exchange.