BE-2022-0001: Uso de Log4j en el componente RenderFarm para SYNCHRO 4D Pro y SYNCHRO Pro
ID de Bentley: BE-2022-0001
ID de CVE: CVE-2021-44228
Gravedad: 10
CVSS v3.1 : 3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Fecha de publicación:
17-02-2022 Fecha de revisión: 17-02-2022
Resumen
El componente RenderFarm de SYNCHRO 4D Pro y SYNCHRO Pro incluye una versión Log4j susceptible a la vulnerabilidad de Log4Shell.
Detalles
Si está utilizando el componente RenderFarm de SYNCHRO 4D Pro y SYNCHRO Pro y ejecuta un renderizado distribuido a través de la red, podría estar en riesgo de vulnerabilidad Log4Shell descrita en CVE2021-44228 si un atacante malintencionado puede acceder a su granja de renderizados y enviarle cargas maliciosas.
Versiones afectadas
| Aplicaciones | Versiones afectadas | Versiones con menor vulnerabilidad |
| SYNCHRO 4D Pro | Versiones anteriores a la 6.4.3.2 | 6.4.3.2 y más recientes |
| SYNCHRO Pro | Versiones de la 6.1 a la 6.2.3 y la 6.3 | 6.2.4.2 |
Mitigaciones recomendadas
Solo muy pocos de nuestros usuarios utilizan el componente RenderFarm. Si no lo usa, no se encuentra en riesgo. Puede seguir las instrucciones aquí para eliminar de forma segura el archivo jar de Log4j si lo desea, sin afectar a las funcionalidades SYNCHRO 4D Pro y SYNCHRO Pro: https://comunities.bentley.com/products/construction/w/construction__wiki/57908/ . Bentley recomienda actualizar a las últimas versiones de SYNCHRO 4D Pro, ya que la nueva versión ya no incluye este componente y SYNCHRO 4D Pro es el producto de sustitución de SYNCHRO Pro.
Agradecimientos
Historial de revisiones
| Fecha | Descripción |
| 02-17-2022 | Primera versión de este aviso |
