BE-2022-0001: Use of Log4j in RenderFarm component for SYNCHRO 4D Pro and SYNCHRO Pro
ID Bentley : BE-2022-0001
ID CVE : CVE-2021-44228
Gravité : 10
CVSS v3.1: 3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Date de publication : 17-02-2022
Date de révision : 17-02-2022
Résumé
Le composant RenderFarm de SYNCHRO 4D Pro et de SYNCHRO Pro inclut une version de Log4j sensible à la vulnérabilité Log4Shell.
Détails
Si vous utilisez le composant RenderFarm de SYNCHRO 4D Pro et de SYNCHRO Pro et que vous exécutez le rendu distribué sur le réseau, vous êtes à risque face à la vulnérabilité Log4Shell décrite dans CVE-2021-44228 si un attaquant malintentionné peut accéder à votre ferme de rendu et lui envoyer des charges malveillantes.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| SYNCHRO 4D Pro | Versions prior to 6.4.3.2 | 6.4.3.2 and more recent |
| SYNCHRO Pro | Versions from 6.1 to 6.2.3 and 6.3 | 6.2.4.2 |
Mesures d'atténuation recommandées
Seul un très petit nombre de nos utilisateurs se sert du composant RenderFarm. Si vous ne l'utilisez pas, vous ne courez aucun risque. Vous pouvez suivre les instructions ici pour supprimer en toute sécurité le fichier jar Log4j si vous le souhaitez, sans affecter les fonctionnalités de SYNCHRO 4D Pro et de SYNCHRO Pro : https://communities.bentley.com/products/construction/w/construction__wiki/57908/ . Bentley recommande la mise à jour vers les dernières versions de SYNCHRO 4D Pro, car la nouvelle version n'inclut plus ce composant et SYNCHRO 4D Pro est le produit de remplacement de SYNCHRO Pro.
Acknowledgement
Revision History
| Date | Description |
| 17-02-2022 | Première version de l’avis |
