15 December 2021 / Comments

Mise à jour : 15 décembre 2021

Voici tout ce que vous devez savoir sur nos mises à jour pour la faille de sécurité Log4J.

Openings Studio a-t-il déjà été mis à jour vers la version 2.16.0 de Log4J ?

Oui.  Nous avons publié un correctif pour ces nouveaux fichiers le 15 décembre.  Le lancement d'Openings Studio téléchargera automatiquement ces fichiers et supprimera les anciens fichiers.

Quels fichiers pourraient être récupérés lors d'une analyse de vulnérabilité système par une entreprise ?

Il y en a trois situés dans C:\Program Files\AAOS.  Ces fichiers sont appelés :

  • Log4j-api-2.5.jar
  • Log4j-core-2.5.jar
  • Log4j-slf4j-impl-2.5.jar

Les nouveaux fichiers sécurisés ont un nom similaire, mais se terminent par le numéro de version 2.16.0 au lieu de 2.5.  Les nouveaux fichiers jar seront automatiquement téléchargés lors du lancement d'Openings Studio et les anciens fichiers jar seront supprimés.  Veuillez noter : Nous avons initialement mis à jour la version 2.15.0, mais nous avons mis à jour lorsque Log4J a publié une autre version.

Une entreprise devrait-elle s'inquiéter si elle possède ces anciens fichiers ?

Openings Studio ne fonctionnera pas sans les fichiers mis à jour, il n'y a donc aucun risque qu'Openings Studio utilise les anciens fichiers jar.  Toutefois, si une entreprise craint que ces fichiers n'apparaissent dans une analyse de vulnérabilité, nous recommandons l'une des actions suivantes :

  1. Demandez à chaque utilisateur ayant installé Openings Studio de lancer le programme à partir du menu Démarrer ou du plug-in sur son ordinateur individuel.  ; Les droits d'administrateur ne sont pas requis pour cette action.
  2. Demandez au service informatique d'exécuter un script pour supprimer les fichiers jar 2,5 ci-dessus de tous les ordinateurs.  Il n'y a aucun risque à les supprimer.
  3. Désinstallez et réinstallez Openings Studio pour chaque utilisateur.

Une entreprise doit-elle désinstaller et réinstaller Openings Studio ?

Si une entreprise a beaucoup d'utilisateurs et peut le faire plus facilement que de supprimer les anciens fichiers jar, ce serait une bonne option.  La nécessité de le faire dépend de l'entreprise, car il n'y a aucun risque lorsque Openings Studio est hors ligne.  Encore une fois, les nouveaux fichiers seront téléchargés automatiquement lors du lancement d'Opens Studio.

Le package d'installation d'Openings Studio a-t-il été mis à jour ?

Les fichiers Log4J ne font pas partie de notre package d'installation.  Les fichiers ne sont téléchargés qu'au premier lancement d'Openings Studio ou lorsqu'une mise à jour est déployée.

Que se passe-t-il si quelqu'un ne met pas à jour ces fichiers ?

Rien sauf peut-être apparaître dans une analyse de sécurité.  Les fichiers ne sont pas utilisés lorsque Openings Studio est hors ligne et ne constituent pas une menace pour la sécurité dans cet état.
 

Si vous avez d'autres questions, n'hésitez pas à contacter votre consultant Openings Studio pour plus d'informations.