BE-2022-0001: Uso do Log4j em componente RenderFarm para SYNCHRO 4D Pro e SYNCHRO Pro
Bentley ID: BE-2022-0001
ID CVE: CVE-2021-44228
Gravidade: 10
CVSS v3.1: 3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Data de publicação: 2022-02-17
Data de revisão: 2022-02-17
Resumo
O componente RenderFarm do SYNCHRO 4D Pro e SYNCHRO Pro inclui uma versão Log4j suscetível à vulnerabilidade Log4Shell.
Detalhes
Se você estiver usando o componente RenderFarm do SYNCHRO 4D Pro e SYNCHRO Pro e executar renderização distribuída pela rede, poderá correr o risco da vulnerabilidade Log4Shell descrita em CVE-2021-44228 se um invasor mal-intencionado pode acessar seu farm de renderização e enviar cargas maliciosas para ele.
Versões afetadas
| Aplicações | Versões afetadas | Versões mitigadas |
| SYNCHRO 4D Pro | Versões anteriores a 6.4.3.2 | 6.4.3.2 e mais recentes |
| SYNCHRO Pro | Versões de 6.1 a 6.2.3 e 6.3 | 6.2.4.2 |
Mitigações recomendadas
Apenas poucos de nossos usuários estão usando o componente RenderFarm. Se você não estiver usando, não está correndo risco. Você pode seguir as instruções aqui para remover com segurança o arquivo do jarro Log4j se desejar, sem afetar as funcionalidades do SYNCHRO 4D Pro e SYNCHRO Pro: https://communities.bentley.com/products/construction/w/construction__wiki/57908/ . A Bentley recomenda a atualização para as últimas versões do SYNCHRO 4D Pro, uma vez que a nova versão não inclui mais este componente e o SYNCHRO 4D Pro é o produto substituto do SYNCHRO Pro.
Agradecimentos
Histórico de revisão
| Data | Descrição |
| 2022-02-17 | Primeira versão da assessoria |
