Divulgation de Log4j

Déclaration de sécurité de ProcessMaker : Vulnérabilité d'Apache Log4j

Le vendredi 10 décembre 2021, nous avons observé l'annonce de la vulnérabilité inconnue de type "zero day"(CVE-2021-44228) pour la bibliothèque de journalisation couramment utilisée pour les logiciels basés sur Java, appelée log4j.

ProcessMaker BPM et ses intégrations ne nécessitent pas Java, n'utilisent donc pas la bibliothèque log4j et ne sont donc pas impactés par cette vulnérabilité.

Par mesure de sécurité, notre équipe a effectué une évaluation complète de l'impact depuis que la vulnérabilité a été initialement documentée, et nous avons constaté qu'aucun composant ou service offert par ProcessMaker n'était affecté.

Composants analysés et identifiés comme sûrs :

  • ProcessMaker Cloud (applications Web en nuage, API RESTful, passerelles API)
  • ProcessMaker Web (site Web public)
  • Support ProcessMaker (Zendesk)
  • Services de sauvegarde (AWS Backup, AWS S3)

Pour l'instant, aucun composant n'a été identifié comme étant vulnérable à l'exploit.

Nous surveillons en permanence la réponse des chercheurs en sécurité pour observer la poursuite de la découverte de cette vulnérabilité et d'autres qui pourraient arriver. D'autres mises à jour seront publiées sur cette page si nécessaire.

Avant le 13 décembre 2021, à 18 heures (heure de l'Est).

 

Mise à jour sur la protection de la vie privée
Nous utilisons des cookies pour rendre les interactions avec notre site web et nos services faciles et significatives. Les cookies nous aident à mieux comprendre comment notre site web est utilisé et à adapter la publicité en conséquence.

Accepter