Atualizado em 16/12/2021 às 14h55
Os usuários de ERPs que fazem o uso de tecnologias Java (como Totvs Datasul e sistemas em Progress) estão preocupados com a recente descoberta da vulnerabilidade CVE-2021-44228, que afeta a biblioteca Apache Log4j.
Se você quer saber mais sobre essa vulnerabilidade, não deixe de ler este artigo: Log4Shell: vulnerabilidade crítica no Apache Log4j | Blog oficial da Kaspersky.
Em relação ao sistema Datasul, a Totvs já manifestou que a vulnerabilidade não afeta seus produtos. Porém, orienta seus clientes a verificarem se foi desenvolvida alguma customização que faz o uso da biblioteca, conforme ressaltam os artigos abaixo.
E em relação ao Fluig, também informaram que, embora a biblioteca Log4j possa ser encontrada em alguns dos arquivos do Fluig, ela é utilizada apenas internamente pelo serviço de indexação Solr, que não é afetado pela vulnerabilidade.
A Totvs complementou que uma atualização do Fluig será publicada nos próximos dias com uma atualização do Solr, e recomenda que os clientes confirmem que o Solr está disponível apenas na rede interna. Se você é cliente Fluig, pode ver mais detalhes sobre isso em Fluig - Plataforma - CON - Vulnerabilidade da biblioteca log4j do Apache (CVE-2021-44228) – Fluig.
A Progress também já notificou seus clientes de que o produto DataDirect na versão 4.6.1 é afetado pela CVE-2021-44228, e através do seu Knowledge Base publicou o artigo Is Hybrid Data Pipeline vulnerable to CVE-2021-44228 (Log4j)?, com instruções para mitigar a vulnerabilidade.
É importante ressaltar que nenhum dos sistemas oferecidos pelo Aprovador são afetados pela CVE-2021-44228. De qualquer forma, se tiver qualquer dúvida, não deixe de entrar em contato com o nosso suporte.
Atualização
A Progress enviou uma notificação para seus clientes com a atualização de seu Knowledge Base Is OpenEdge vulnerable to CVE-2021-44228 (Log4j)?, informando que a vulnerabilidade CVE-2021-44228 foi identificada na versão 11.7 do OpenEdge.
Os componentes Classic Rest Adapter, configutil (import-export utility) e OpenEdge Command Center (OECC) Version 1 foram afetados. É importante ressaltar que apenas o último update da versão 11.7 foi afetado (11.7.11). As versões 11.7.0 à 11.7.10 não estão expostas à CVE-2021-44228.
As versões 12.x do OpenEdge não foram afetadas, pois elas utilizam a biblioteca logback no lugar da lib log4j, que foi afetada. As versões anteriores a 11.7 não recebem mais atualizações, e por isso não serão avaliadas.
As ações de mitigação assim como mais detalhes podem ser conferidas diretamente no Knowledge Base através do link Knowledge: UPDATED: Is OpenEdge vulnerable to CVE-2021-44228 (Log4j)? (progress.com).
É recomendado que os clientes Totvs Datasul que estão na versão 11.7 do Progress OpenEdge, verifiquem as informações do Knowledge Base e os componentes do OpenEdge em uso no seu ambiente.