BE-2022-0001: Use of Log4j in RenderFarm component for SYNCHRO 4D Pro and SYNCHRO Pro
ID Bentley: BE-2022-0001
ID CVE: CVE-2021-44228
Gravità: 10
CVSS v3.1: 3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Data di pubblicazione: 17-02-2022
Data di revisione: 17-02-2022
Riepilogo
Il componente RenderFarm di SYNCHRO 4D Pro e SYNCHRO Pro include una versione di Log4j soggetta alla vulnerabilità Log4Shell.
Dettagli
Se si utilizza il componente RenderFarm di SYNCHRO 4D Pro e SYNCHRO Pro e si esegue il rendering distribuito in rete, si potrebbe essere a rischio della vulnerabilità Log4Shell descritta nella CVE-2021-44228 se un utente malintenzionato può accedere alla render farm e inviare carichi utili dannosi.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| SYNCHRO 4D Pro | Versions prior to 6.4.3.2 | 6.4.3.2 and more recent |
| SYNCHRO Pro | Versions from 6.1 to 6.2.3 and 6.3 | 6.2.4.2 |
Mitigazioni consigliate
Solo pochissimi utenti utilizzano il componente RenderFarm. Se non lo usi, non sei a rischio. È possibile seguire le istruzioni qui riportate per rimuovere in modo sicuro il file JAR Log4j, se lo si desidera, senza influire sulle funzionalità di SYNCHRO 4D Pro e SYNCHRO Pro: https://communities.bentley.com/products/construction/w/construction__wiki/57908/ . Bentley consiglia di eseguire l'aggiornamento alle versioni più recenti di SYNCHRO 4D Pro poiché la nuova versione non include più questo componente e SYNCHRO 4D Pro è il prodotto sostitutivo di SYNCHRO Pro.
Acknowledgement
Revision History
| Date | Descrizione |
| 17-02-2022 | Prima versione dell'avviso |
