CDESK3 ve verzích do 3.0.194.0 obsahuje dotčenou knihovnu ve verzi 2.00 až 2.14 s chybou.
Lokalizována byla v knihovně pro práci s XLS soubory na export a import a v rámci komponenty Tomcat, které obě zatím byly jen připraveny k použití pro produkci.
Danou XLS knihovnu a Tomcat na serverech s platným supportem odstraníme bez updatu celého serveru. V produkci zůstává starší XLS knihovna, která sice obsahuje také knihovnu Log4j, ale starší verze bez zranitelnosti a bude nahrazena v průběhu příštího roku.
V žádné jiné části CDESK3 se knihovna Log4J nevyskytuje, ani při instalaci přímo na server ani u Dockerizované verze.
CDESK2 – tuto novou XLS knihovnu nepoužívá, ale jelikož je kód společný s CDESK3, dočištění je potřebné i v tomto případě.
CUSTOMER MONITOR se to týká komponent Guacamole a C-Monitor Linux/Mac klienta. Guacamole bude ošetřeno včetně zásahu na CDESK3. C-Monitor Linux klient má sice ještě verzi nižší než 2.00, která je bez zranitelnosti, ale je již ve vývoji update s nejnovější knihovnou a předpokládáme, že v průběhu několika dní jej uvolníme na download stránce www.customermonitor.sk/download.
Na všech serverech s platným supportem provedou naši administrátoři opravu do 23.12.2021, pokud nebude překážka v připojení na server.
Se zákazníky, kde je potřebné připojení na povolení, se dohodneme individuálně.