28 février 2023
Il y a plus d'un an, la vulnérabilité critique de Java Log4shell a été révélée. Alors que OneStream XF® n'utilisait pas Log4j, Oracle® était directement concerné avec plusieurs produits, dont des versions d'Hyperion et d'Essbase. Nous avons pu réagir dans les trois jours suivant l'annonce avec notre outil de mitigation, avant que les fabricants de logiciels ne suivent avec des mises à jour.
Comme Log4j est utilisé dans de nombreux logiciels et peut être implémenté sous un autre nom (car open source), nous continuons à conseiller de mettre à jour vos logiciels critiques en plus de vos applications EPM/CPM. Java est également utilisé pour les appareils industriels, médicaux et autres appareils spécialisés.
Pour toute question ou problème concernant Log4j, veuillez vous adresser à notre support.
17 décembre 2021
Nous avons écrit un outil qui recherche la faille Log4shell dans votre application professionnelle et la corrige automatiquement. Celui-ci est dès à présent disponible au téléchargement. Si vous avez des questions, veuillez vous adresser à notre support. Si vous le souhaitez, nous pouvons également nous charger de l'application de l'outil pour vous.
16 décembre 2021
Nous avons supprimé la classe Java concernée dans tous les environnements Hyperion hébergés. De plus, un filtre est actif dans le système de prévention des intrusions, ce qui empêcherait les connexions réseau sortantes résultant de l'exploitation de cette faille.
Nous avons écrit un outil qui recherche la faille Log4shell et la corrige automatiquement. Nous prévoyons de le mettre à disposition pour téléchargement à partir du vendredi 17 décembre. La procédure est la suivante :
Si vous le souhaitez, nous pouvons nous charger de l'utilisation de l'outil pour vous. Pour cela, veuillez vous adresser à notre support. Le temps nécessaire est de ±1h par environnement.
15 décembre 2021 /2
Les produits suivants, souvent utilisés en combinaison avec Oracle® Hyperion, n'utilisent pas la version 2.x d'Apache Log4j et ne sont donc pas concernés par cette vulnérabilité : EPM Maestro Suite, MerlinXL, EPM FastTrack, Accelatis, Dodeca, Serviceware Performance (cubus outperform)
15 décembre 2021
Vendredi dernier, la vulnérabilité critique de Java Log4shell a été rendue publique. Les attaquants peuvent exploiter cette erreur dans la bibliothèque de code Log4j, qui est ancrée dans d'innombrables produits logiciels dans le monde entier, pour exécuter le code système de leur choix.
Alors que Log4j n'est pas utilisé dans OneStream XF®, Oracle® a publié, au 10 décembre, une liste de ses produits qui sont concrètement concernés par la faille Log4shell ou qui font actuellement l'objet d'une enquête à ce sujet. Selon celle-ci, Oracle® Hyperion et Essbase sont également concernés, pour autant que les versions 2.0-2.14.1 de Log4j soient utilisées. Les versions 1.x ne contiennent pas le bug, c'est pourquoi les versions de produits Hyperion Financial Management 11.1.2.4 et Hyperion Financial Reporting 11.1.2.4 ne sont pas concernées.
Hyperion 11.2.5.0.000 avec utilisation de Fusion Middleware 12.2.1.4 et la version de log4j*.jar utilisée est 2.10 ou supérieure. Détails dans l'avis d'alerte de sécurité Oracle - CVE-2021-44228 (voir ci-dessous)
DRM
EPMA
Essbase
Nous vous informerons dès qu'un patch en suspens sera disponible.
Sécurité des plateformes pour Java
Oracle HTTP Server
Oracle WebLogic Server
Informations sur le fabricant :
Avis d'alerte de sécurité Oracle - CVE-2021-44228 https://www.oracle.com/security-alerts/alert-cve-2021-44228.html
Article de support Oracle "Apache Log4j Security Alert CVE-2021-44228" (Doc ID 2827611.1) https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=2827611.1
Nous continuons à suivre l'évolution et informons dès que des mises à jour sont disponibles pour les différents produits. Si vous souhaitez être averti, il vous suffit de vous abonner à notre newsletter.
A chaque mise à jour d'Oracle/OneStream EPM, les notes de version avec notre évaluation professionnelle directement dans votre boîte aux lettres électronique :
