Una nueva vulnerabilidad de día cero conocida oficialmente como CVE-2021-44228publicado en la base de datos nacional de vulnerabilidades del NIST el viernes 10 de diciembre. Se encuentra en la biblioteca Java de Log4j.
Log4j es una popular biblioteca de registro de código abierto creada por Apache Software Foundation. Una vulnerabilidad de seguridad descubierta en Log4j permite a los piratas informáticos ejecutar comandos remotos en un sistema de destino. La gravedad de la vulnerabilidad se clasifica como “Críticopor NIST.
¿Cómo funcionan los productos GFI?
El equipo de desarrollo de GFI está revisando nuestro producto para usar Log4j.
Función: Kerio Connect usa Log4j y la mitigación recomendada se muestra a continuación.
Si descubrimos alguna mitigación adicional propuesta, proporcionaremos más comunicaciones. La información adicional cuando esté disponible también se publicará en esta página.
Mitigación de vulnerabilidades de Kerio Connect
Log4j se usa en Kerio Connect como parte de la función de chat. Lo recomendamos a todos los usuarios de Kerio Connect desactivar temporalmente la función de chat en software
Para deshabilitar el chat en Kerio Connect:
- Vaya a “Configuración”.
- Haga clic en Dominios.
- Haga doble clic en el dominio deseado.
- Busque la sección Chat en la pestaña General.
- Anule la selección de “Habilitar chat en Kerio Connect Client”. versión
- Repita los pasos anteriores para todos sus dominios de correo electrónico.
Revisión de seguridad de Kerio Connect
Ya se ha comenzado a trabajar en la revisión de seguridad de Kerio Connect. Tenemos la intención de hacer un anuncio público en los próximos días.
Enviaremos una notificación de seguimiento a todos los clientes de Kerio Connect a su correo electrónico registrado cuando el lanzamiento esté disponible.
Actualización 2021 12. 21.
Nos complace anunciar que Kerio Connect 9.3.1p2 está disponible. Esta versión de seguridad soluciona una vulnerabilidad en Log4j, conocida oficialmente como CVE-2021-44228.
Notas de lanzamiento.
- Actualización de la biblioteca Apache log4j2 a la versión 2.16.0 (corrige la vulnerabilidad CVE-2021-44228)
La nueva versión está disponible para descargar Centro de mejora de GFI.
Recomendamos que todos los clientes de Kerio Connect instalen la versión 9.3.1p2 lo antes posible.
Una vez que se inicia Kerio Connect 9.3.1p2, la función de chat se puede reactivar de forma segura.
Actualización 2022 01. 13.
Nos complace anunciar el lanzamiento de Kerio Connect 9.4. Esta última versión presenta varias mejoras de seguridad importantes, que incluyen Implementación de Log4j 2.17.0 abordar una vulnerabilidad de denegación de servicio conocida formalmente como CVE-2021-45105 disponible en la versión anterior.
Una lista completa de las notas de la versión está disponible en nuestra página web.
La nueva versión está disponible para descargar Centro de mejora de GFI.
Recomendamos que todos los clientes de Kerio Connect instalen la versión 9.4 lo antes posible.
Actualización 2022 01. 14.
El equipo de desarrollo de GFI ha revisado nuestro producto para usar Log4j. Aquí están los resultados de la evaluación.
| Producto: | Resultado: | ¿Como arreglar? |
| Orquestador de la red Exinda | No afectado | |
| Exinda SD-WAN | No afectado | |
| Archivo GFI | No afectado | |
| GFI EndPointSecurity | No afectado | |
| Administrador de eventos de GFI: | No afectado | |
| GFI FaxMaker | No afectado | |
| Servicio de asistencia de GFI: | No afectado | |
| GFI LanGuard: | No afectado | |
| GFI MailEssentials: | No afectado | |
| Kerio Conectar | Afectados (versión 9.3.1p1 y anteriores) | Actualizar a la versión 9.4 |
| Control Kerio: | No afectado | |
| operador Kerio | No afectado |