Este alerta de segurança está relacionado a uma vulnerabilidade crítica no componente Apache Java Log4j, a vulnerabilidade permite que o código seja executado remotamente sem autenticação.
O Sage X3 não está exposto à vulnerabilidade log4j, no entanto, o Sage X3 utiliza nativamente uma solução de terceiros chamada ElasticSearch que em determinadas versões integra a lista de softwares impactados pelo problema de segurança do Apache Java Log4j.
- Ambientes Sage X3 PU8 e PU9 não serão afetadas.
- Ambientes Sage X3 V11 possuem ElasticSearch 6.8 e fazem parte das versões afetadas por esse problema.
- Ambientes Sage X3 V12 possuem ElasticSearch 7.9 e fazem parte das versões afetadas por esse problema.
Em instalações onde as melhores práticas de segurança do Sage X3 foram seguidas, não há risco porque o ElasticSearch não é exposto às redes internas ou externas e só é aberto para o Syracuse.
Abaixo listamos as orientações para ambientes on-primeses ou não hospedados junto a Axis:
ElasticSearch 6.8:
Atualize o componente para versão 6.8.21 que já integra a correção.
Download: https://www.elastic.co/fr/downloads/past-releases/elasticsearch-6-8-21
ElasticSearch 7.9:
Ainda não há versão liberada, o Elasticsearch 7.16.1 incluindo a correção de vulnerabilidade está sendo validado. (faremos um novo comunicado quando estiver disponível)
Ação de contorno: editar o arquivo de configuração jvm.options (localizado no diretório de instalação o ElasticSearch) e incluir a o parâmetro "-Dlog4j2.formatMsgNoLookups=true"