BE-2022-0001: Use of Log4j in RenderFarm component for SYNCHRO 4D Pro and SYNCHRO Pro
Bentley-ID: BE-2022-0001
CVE-ID: CVE-2021-44228
Schweregrad: 10
CVSS v3.1: 3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Veröffentlichungsdatum: 17.02.2022
Revisionsdatum: 17.02.2022
Zusammenfassung
Die RenderFarm-Komponente von SYNCHRO 4D Pro und SYNCHRO Pro umfasst eine Log4j-Version, die anfällig für die Log4Shell-Schwachstelle ist.
Details
Wenn Sie die RenderFarm-Komponente von SYNCHRO 4D Pro und SYNCHRO Pro verwenden und verteiltes Rendering über das Netzwerk ausführen, sind Sie möglicherweise durch die in CVE-2021-44228 beschriebene Log4Shell-Schwachstelle gefährdet, wenn ein böswilliger Angreifer auf Ihre Renderfarm zugreifen und schädliche Nutzdaten an sie senden kann.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| SYNCHRO 4D Pro | Versions prior to 6.4.3.2 | 6.4.3.2 and more recent |
| SYNCHRO Pro | Versions from 6.1 to 6.2.3 and 6.3 | 6.2.4.2 |
Empfohlene Schutzmaßnahmen
Nur sehr wenige unserer Anwender verwenden die RenderFarm-Komponente. Wenn Sie sie nicht verwenden, sind Sie nicht gefährdet. Sie können den Anweisungen hier folgen, um die Log4j jar-Datei sicher zu entfernen, ohne die Funktionalitäten von SYNCHRO 4D Pro und SYNCHRO Pro zu beeinträchtigen: https://communities.bentley.com/products/construction/w/construction__wiki/57908/. Bentley empfiehlt, auf die neueste Version von SYNCHRO 4D Pro zu aktualisieren, da die neue Version diese Komponente nicht mehr enthält und SYNCHRO 4D Pro das Nachfolgeprodukt von SYNCHRO Pro ist.
Acknowledgement
Revision History
| Date | Beschreibung |
| 17.02.2022 | Erste Version dieses Hinweises |
