Patch de vulnerabilidades de segurança críticas (CVE-2021-44832, -45105, -45046 e -44228)

A janela Aplicativo de análise do Analytics usa o Apache Log4j. Portanto, é afetada pelas vulnerabilidades de segurança críticas do Log4j listadas abaixo, embora a vulnerabilidade real do Analytics seja baixa:

• CVE-2021-44832
• CVE-2021-45105
• CVE-2021-45046
• CVE-2021-44228

Essa lista de vulnerabilidades cresceu, pois foi constatado que os patches anteriores estavam incompletos. Temos um patch que mitigará imediatamente todas as vulnerabilidades do Analytics acima.

Suas opções

Embora o risco para os usuários do Analytics seja baixo, recomendamos resolver a situação de vulnerabilidade adotando uma das seguintes opções:

• Atualizar para o Analytics 18.0 Para obter mais informações, consulte Guia de instalação e ativação do ACL para Windows.

• Aplicar manualmente o patch na versão existentes do Analytics Veja a seguir informações e instruções adicionais.

O que é o patch?

Este patch é uma versão oficial do Apache, o provedor do Log4j. Ele mitigará automaticamente as vulnerabilidades CVE-2021-44832, CVE-2021-45105, CVE-2021-45046 e CVE-2021-44228 no Analytics.

Quais versões do Analytics estão vulneráveis?

Embora o risco seja baixo, todas as versões do Analytics até a versão 15.1.0 (inclusive) são afetadas. Independentemente da versão instalada, recomendamos atualizar para a versão mais recente do Analytics (18.0) ou aplicar manualmente agora o patch na versão existente do Analytics.

Como instalar o patch

Este patch precisa ser instalado em cada computador que tem o Analytics. Você pode instalá-lo manualmente ou por meio de um script em lote.

Se você tiver mais de uma versão do Analytics instaladas lado a lado, precisará aplicar separadamente o patch em todas as versões instaladas.

Método de script em lote

Somente utilize este método se o Analytics estiver instalado na sua localização padrão (C:\Arquivos de Programas (x86)\ACL Software\ACL for Windows <<versão>>). Se o Analytics estiver instalado em outro lugar, use o método manual descrito abaixo.

1. Feche o Analytics e o ACL para Windows, se estiverem abertos.
2. Baixe esta pasta compactada em seu computador.
3. Descompacte a pasta para um local fácil, como C:/temp/patch.
4. Abra um prompt de comando do Windows no modo de administrador.
5. Mude para a pasta que você criou. Por exemplo, se você descompactou para C:/temp/patch
   , digite:

   cd c:\temp\patch

6. Execute o script em lote na pasta usada para descompactação.
   

   .\do_replace.bat

Método manual

1. Feche o Analytics e o ACL para Windows, se estiverem abertos.
2. Baixe esta pasta compactada em seu computador.
3. Descompacte a pasta.
4. Vá para a pasta em que o ACL para Windows está instalado. Por exemplo, C:\Arquivos de programas (x86)\ACL Software\ACL for Windows 15.
5. Abra a pasta ACL App.
6. Substitua acl-service.ini pela nova versão desse arquivo, que você acabou de baixar.
7. Abra a pasta lib.
8. Substitua os quatro arquivos *.jar abaixo pelas novas versões de arquivos que você acabou de baixar. O nome do arquivo das novas versões contém 2.17.1.
   • log4j-1.2-api-2.8.2.jar
   • log4j-api-2.8.2.jar
   • log4j-core-2.8.2.jar
   • log4j-slf4j-impl-2.8.2.jar

Também pode ser necessário aplicar o patch ao Analytics Exchange

Além disso, se sua organização usa o Analytics Exchange, um administrador de sistema deve aplicar o patch ou atualizar o produto. Consulte as instruções para aplicar o patch no Analytics Exchange.