⚠ Alerte sécurité GoAnywhere MFT

🚨 MESSAGE DU 21/12/2021

Chers clients,

Comme promis, nous vous tenons informé de l’évolution des failles.

Une manipulation est à entreprendre afin de corriger la faille du nom de CVE-2021-45105.

⬇ Vous trouverez ci-dessous le court descriptif :

Concernant la CVE-2021-45105, la version 2.16 d’Apache Log4j2 (incluse dans les versions de correctifs ci-dessous) empêche l’évaluation des modèles de consultation introduits en dehors de la configuration.

Ainsi, vous avez besoin de vérifier seulement les fichiers de configuration log4j2.xml situés dans le dossier /config de GoAnywhere, afin qu’ils ne contiennent pas le modèle de consultation vulnérable ${ctx :. Le modèle de recherche vulnérable n’est pas inclus dans les configurations de journalisation par défaut des produits GoAnywhere.

Les clients qui ont précédemment mis à jour manuellement leurs fichiers de configuration Log4j sont invités à :

• Remplacer les occurrences de ${ctx : par %X. Par exemple, ${ctx:exemple} doit être remplacé par %X{exemple}.
• Redémarrer la solution GoAnywhere concernée après avoir effectué les modifications.

La mitigation ci-dessus nécessite que les clients mettent à jour avec les correctifs annoncés le 17 décembre.

Merci.

L’équipe ESBD

🚨 MESSAGE DU 17/12/2021

Chers clients,

Nous faisons suite à notre dernier emailing concernant la faille critique ‘Log4j2’ publiée sous le nom de CVE-2021-44228, et la faille sous le nom de CVE-2021-45046.

Une mise à jour du correctif pour GoAnywhere est à nouveau disponible.

Celle-ci comprend :

• La mitigation GoAnywhere MFT (corrigée),
• La mitigation Gateway (corrigée),
• La mitigation Agents (en cours de correction, nous reviendrons vers vous pour cette dernière),
• La mitigation Open PGP studio (corrigée).

Par ailleurs, tous les correctifs qui ont été mis en place ci-dessous doivent être révoqués et remplacés par la nouvelle version intégrant Log4j2 v2.16 corrigeant totalement les 2 CVE.

Vous trouverez également tous les liens et guides de mise à jour de GoAnywhere selon votre version, ci-dessous.

Notre équipe technique vous remercie pour votre patience et est à votre disposition pour toute assistance à l’adresse support@esbd.eu.

Merci,

L’équipe ESBD

MESSAGE DU 14/12/2021

Chers clients,

Le 10 décembre, une faille sur le projet Open-Source Apache ‘Log4j2’ a été publiée sous le nom de CVE-2021-44228.

Bien que cette vulnérabilité n’affecte pas toutes les versions de Java, des étapes correctives sont disponibles pour GoAnywhere MFT.

Pour les détails, visiter : https://www.goanywhere.com/cve-2021-44228-goanywhere-mitigation-steps 

Les étapes de résolution pour les versions suivantes ont été énumérées dans le lien ci-dessous et sont applicables pour éviter l’exploitation de la faille pour n’importe quelle version de java.

Si vous utilisez une version plus ancienne, il faudra procéder à une mise à jour avant d’appliquer le correctif.

• GoAnywhere MFT version 5.7.0 or later.
• GoAnywhere Gateway version 2.7.0 or later.
• GoAnywhere MFT Agents 1.4.2 or later.

N’hésitez pas à contacter le support d’ESBD à support@esbd.eu pour toute assistance.

Merci,

L’équipe ESBD

Partager l'article