Esri undersøger en sårbarhed i Apache Log4j 2, “Log4Shell/Apache Log4j Injection Vulnerability CVE-2021-44228”, da nogle af Esri’s produkter bruger denne komponent.

Apache Log4j fungerer som en integreret logningstjeneste for en række Java-baserede tredjepartsprogammer, der bruges i software fra mange virksomheder. 

ArcGIS Enterprise 10.8 og senere er ikke ramt af denne sikkerhedsbrist. 

ArcGIS Enterprise 10.7.1 og tidligere versioner er potentielt udsatte for angreb, og Esri arbejder på en fejlrettelse. Hvis du bruger en ældre version af ArcGIS Enterprise, anbefales det at:

• opgradere til version 10.8.1 eller senere. Vi anbefaler at opgradere til 10.9.1 for at få den bedste beskyttelse. 
• deployere Web Application Firewall (WAF)-regler for at filtrere uønskede requests. Esri vil den kommende tid opdatere deres Enterprise Guidance i ArcGIS Trust Center. Hvis man bruger Enterprise i en Cloud løsning, skal man være sikker på, at man bruger de seneste WAF-regler, som f eks. dem der anbefales af Amazon her.

ArcGIS Online 

Esri har lagt patches på ArcGIS Online og fortsætter med at overvåge systemerne. 

Esri Managed Cloud Services 

EMCS Advanced og Advanced+ har implementeret alle kendte patches for Log4j sårbarheder. 

Geoinfo anbefaler at udviklingen følges her.

Esri's officielle statement: 

“Esri is aware of and actively investigating the impact of CVE-2021-44228 to ArcGIS software and services with high priority. An updated statement with additional information will be provided as soon as possible. Please follow this and other official channels for updates on ArcGIS Enterprise as well as other products.” 

Hvis du har flere spørgsmål, kan du henvende dig til din KAM eller projektleder.

Kunder med System- og Driftsserviceaftaler kan kontakte driftsvagten via vores hovednummer:

39 96 59 00 (mandag - fredag - 8.00 - 16.00)

Med venlig hilsen

Geoinfo A/S