Fin dai primi giorni One Team ha seguito con attenzione l’evolversi della situazione relativamente alle vulnerabilità scoperte nel componente Log4J di Apache.
Riteniamo utile sottolineare alcuni punti importanti che a nostro parere ogni utente ESRI è tenuto a conoscere:
Le indicazioni di ESRI
Primo fra tutti il consiglio è quello di seguire le indicazioni che ESRI sta comunicando e comunicherà attraverso questo Post:
ArcGIS and Apache Log4j Vulnerabilities (esri.com)
Qui sono state date le prime indicazioni sulle versioni affette dalla potenziale vulnerabilità e qui sono state messe a disposizione le prime indicazioni per mitigare al massimo il rischio.
I prodotti ESRI che contengono il componente Log4j
Il prodotto che potenzialmente è più interessato dalla vulnerabilità è ArcGIS Enterprise, per il quale ESRI sottolinea che:
Diversi componenti di ArcGIS Enterprise contengono la libreria log4j vulnerabile, tuttavia non vi è alcun codice noto in grado di sfruttare questa vulnerabilità per nessuna delle versione di una distribuzione di base di ArcGIS Enterprise (compresi i componenti ArcGIS Server, Portal for ArcGIS e ArcGIS Data Store) o ArcGIS Server stand-alone in questo momento.
Misure di mitigazione
Motivando come un “eccesso di cautela” ESRI ha messo a disposizione alcuni “Log4Shell mitigation scripts” scritti Python che rimuovono la classe “JndiLookup” come misura di prevenzione consigliata per tutte le tutte le versioni e per tutte le tipologie di deploy.
Gli script, sono scaricabili dal post già segnalato e sono testati per le versioni 10.6 e successive, sottolineando che gli script potrebbero funzionare anche per le versioni precedenti (le versioni 10.5 e precedenti sono in extended support).
One Team si è attivata per realizzare un censimento delle installazioni per i propri clienti con contratti di Manutenzione attiva e per sensibilizzare gli utenti sulle misure di prevenzione.
Altri Prodotti ESRI
L’elenco dei prodotti e delle note ufficiali ESRI sulle potenziali vulnerabilità è in continuo aggiornamento, man mano che proseguono le attività di indagine sull’impatto delle vulnerabilità della libreria Log4j.
…e i prodotti One Team per il GIS?
Lo staff di One Team specifica che i prodotti di One Team per il GIS presenti nel seguente elenco NON SONO AFFETTI dalla vulnerabilità Log4j poiché non includono il componente:
- Geomaster
- Gemon
- Monitoraggio Ambientale
- AINOP
- ArcUtilities Reti & Strade
- ArcFalda
- One Team Geocoder
- Script e automazioni Python sviluppate su commessa
Restiamo a completa disposizione per qualsiasi chiarimento sulle soluzioni sviluppate ad hoc scrivendo a gis@oneteam.it.
Iscriviti al blog per restare sempre aggiornato!