BE-2022-0001: SYNCHRO 4D Pro 및 SYNCHRO Pro용 RenderFarm 구성 요소에서 Log4j 사용
벤틀리 ID : BE-2022-0001
CVE ID : CVE-2021-44228
심각도 : 10
CVSS v3.1 : 3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
발행일 : 2022-02-17
개정일 : 2022-02-17
요약
SYNCHRO 4D Pro 및 SYNCHRO Pro의 RenderFarm 구성 요소에는 Log4Shell 취약성에 취약한 Log4j 버전이 포함되어 있습니다.
세부 정보
SYNCHRO 4D Pro 및 SYNCHRO Pro의 RenderFarm 구성 요소를 사용하며 네트워크를 통해 분산 렌더링을 실행하는 경우 악의적인 공격자가 렌더 팜에 액세스하여 악성 페이로드를 전송할 수 있으면 CVE-2021-44228에 설명된 Log4Shell 취약성의 위험에 노출될 수 있습니다.
영향을 받는 버전
| 애플리케이션 | 영향을 받는 버전 | 완화된 버전 |
| SYNCHRO 4D Pro | 6.4.3.2 이전 버전 | 6.4.3.2 이상 |
| SYNCHRO Pro | 6.1~6.2.3 및 6.3 버전 | 6.2.4.2 |
권장 조치
사용자 중 극소수만이 RenderFarm 구성 요소를 사용하고 있습니다. 사용하지 않으면 위험에 노출되지 않습니다. 필요한 경우 https://communities.bentley.com/products/construction/w/construction__wiki/57908/의 지침에 따라 SYNCHRO 4D Pro 및 SYNCHRO Pro 기능에 영향을 주지 않고 Log4j jar 파일을 안전하게 제거할 수 있습니다. 새 버전에는 이 구성 요소가 더 이상 포함되지 않고 SYNCHRO 4D Pro가 SYNCHRO Pro의 대체 제품이므로 최신 버전의 SYNCHRO 4D Pro로 업데이트하는 것이 좋습니다.
승인
개정 이력
| 일자 | 설명 |
| 2022-02-17 | 1차 권고 버전 |
