Comprendre l’impact de la vulnérabilité d’Apache Log4j dans la solution Cisco Contact Center
Table des matières
Introduction
Ce document décrit l’impact de la vulnérabilité d’Apache Log4j sur la gamme de produits Cisco Contact Center (UCCE).
Conditions préalables
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Cisco Unified Contact Center version 11.6 ou ultérieure.
Informations générales
Apache a récemment annoncé une vulnérabilité dans le composant Log4j. Il est largement utilisé pour la solution de centre de relations clients Cisco et Cisco évalue activement la gamme de produits afin de vérifier ce qui est sécuritaire et ce qui est affecté.
Ce document présente plus d’informations au fur et à mesure qu’elles sont disponibles.
| Application | Identifiant de défaillance | 11.6.(2) | 12.0(1) | 12.5(1) | 12.6(1) |
|---|---|---|---|---|---|
| UCCE/ICM | CSCwa47273 |
Remarque 1 : Correctif ES_55 requis, consultez le document de migration OpenJDK Remarque 2 : Vérification de la version de Tomcat : consultez la section « Vérification de la version de Tomcat sur les serveurs ICM » ci-dessous |
|||
| PCCE | CSCwa47274  |
Remarque 1 : Correctif ES_55 requis, consultez le document de migration OpenJDK Remarque 2 : Vérification de la version de Tomcat : consultez la section « Vérification de la version de Tomcat sur les serveurs ICM » ci-dessous |
|||
| CTIOS | Non impacté | Non impacté | Non impacté | Non impacté | |
|
Application |
Identifiant de défaillance |
11.6(1) |
12.0(1) |
12.5(1) |
12.6(1) |
| CVP | CSCwa47275 | ||||
| VVB | CSCwa47397 |
Non impacté | Non impacté |
* utiliser le correctif publié le 29 décembre 2021 |
|
| Call Studio | CSCwa54008 |
||||
| Finesse | CSCwa46459 |
Non impacté | Non impacté | Non impacté | |
| CUIC | CSCwa46525 |
Non impacté | Non impacté | Non impacté | |
| Données actuelles (LD) | CSCwa46810 | ||||
| IDS | Non impacté | Non impacté | Non impacté | Non impacté | |
| CUIC Co-res (CUIC-LD-IDS) | CSCwa46810 | ||||
| CloudConnect | CSCwa51545 | Non impacté | |||
| ECE | CSCwa47392 | Non impacté | |||
| CCMP | CSCwa47383 | Non impacté | Non impacté | ||
| CCDM | CSCwa47383 | Non impacté | Non impacté | ||
| CCAI de Google |
Google a confirmé que l’ensemble de fonctionnalités CCAI n’est pas affecté | ||||
| Webex Experience Management (WxM) | WxM n’enregistre pas l’utilisateur log4j, la solution n’est donc pas affectée | ||||
| Customer Collaboration Platform (CCP) | CSCwa47384 |
Non impacté | Non impacté | Non impacté | Non impacté |
* Les dates de sortie sont susceptibles d’être modifiées et seront mises à jour au besoin jusqu’à la sortie du correctif
Vérification de la version de Tomcat sur les serveurs ICM
1. Sur les serveurs ICM, c'est-à-dire les routeurs, les enregistreurs, les serveurs PG et AW, vérifiez la version de tomcat installée en exécutant le fichier « <ICM HOME>\tomcat\bin\version.bat ».
2. Si la version tomcat est 9.0.37 ou supérieure, exécutez ces étapes pour corriger le défaut « CSCv7307 »
3. Installez le correctif ES_81 sur le serveur. S’il y a des ES supérieurs à 81 sur le serveur ICM, assurez-vous d’abord de désinstaller ces ES
– Correctif 12.5(1)_ES81 – https://software.cisco.com/download/specialrelease/0aab225ecde522734cc6c6491ad1eb42
– 12.5(1)_ES81 ReadMe – https://www.cisco.com/web/software/280840583/158250/Release_Document_1.html
4. Une fois l'installation de ES_81 terminée, confirmez à nouveau la version de tomcat en exécutant le fichier bat "<ICM HOME>\tomcat\bin\version.bat"
5. La version de Tomcat doit rester identique à l'étape 1. Si tel est le cas, procédez à la réinstallation ordonnée de tous les correctifs ES souhaités jusqu'au correctif log4j inclus, à savoir ES_101
Foire aux questions
Q.1 À quelle fréquence le document est-il révisé avec les dernières informations?
Réponse : Le document est révisé quotidiennement et mis à jour le matin (heures américaines)
Q.2 Les versions ICM, c.-à-d. (routeur, enregistreur, AW, PG) 10.x, 11.0(x), 11.5(x) et 11.6(1) sont-elles affectées?
Réponse : Ces versions ne sont pas affectées, car elles utilisent la version 1.X de log4j.
Q.3 Quand les correctifs sont-ils publiés?
Réponse : Le tableau consultatif met en évidence les dates provisoires de publication des correctifs. Le tableau sera mis à jour avec les liens connexes au fur et à mesure qu’ils seront disponibles.
Q.4 Une solution de rechange peut-elle être mise en œuvre jusqu’à ce que le correctif soit prêt?
Réponse : Il est recommandé de suivre l’avis PSIRT et de veiller à ce que les correctifs soient appliqués dès que possible une fois publiés pour les versions concernées.
Q.5 CUIC autonome 11.6(1) n'est pas affecté y log4j, mais le fichier readme de ES indique qu'il s'agit d'un correctif requis sur le serveur – pourquoi?
Réponse : Cet ES n’est pas un ES autonome ayant uniquement un correctif log4j, cet ES23 est un ES cumulatif comme nous le ferions pour n’importe quel produit VOS. C'est-à-dire qu'un seul ES, le plus récent et cumulatif, n'est à la disposition du Client à tout moment. Voici un scénario dans lequel Cu est dans CUIC autonome 11.6 ES 21 (ou une version antérieure) et nécessite les correctifs de défauts CUIC d’ES22; dans ce cas, ils doivent toujours installer ES23 (car les ES sont cumulatifs et seules les dernières versions d’ES sont disponibles pour le client). De plus, ce défaut log4j est mentionné et répertorié sous le défaut LD dans le fichier Readme de l’ES. Lors de l'installation d'ES, les correctifs de défauts sont installés en fonction du déploiement, le cas échéant (c'est-à-dire que la vérification du déploiement est effectuée pour savoir si - CUIC autonome/CUIC co-res/LD avant l'installation d'ES et si les correctifs de défauts sont appliqués en conséquence)
Q.6 Quelles actions dois-je effectuer si l’analyseur de sécurité de mon entreprise (par exemple : Qualys) récupère CVE-2021-45105 après avoir appliqué le correctif à mon produit UCCE?
Réponse : Aucune action n’est nécessaire, car Cisco a examiné CVE-2021-45105 et a déterminé qu’aucune offre de produit ou de nuage Cisco n’est touchée par cette vulnérabilité. Cette information a également été mise en évidence dans l’avis. Pour que la version 2.16.0 de Log4j soit vulnérable aux attaques DDoS, une configuration autre que celle par défaut est requise pour l’exploitabilité. Cela signifie que l’attaquant doit modifier manuellement le fichier de configuration log4j et cela n’est pas possible dans les produits UCCE, donc CVE-2021-45105 n’est pas applicable.
Q7. Que dois-je faire lorsque je vois des fichiers Log4j ".jar" plus anciens sur mon système, tels que des fichiers 1.2x ?
Réponse : Il est recommandé de conserver les anciens fichiers afin que le processus de restauration ne soit pas interrompu. Le fait d’avoir une version inactive de ces fichiers sur le système ne rend pas le composant vulnérable.
Toutefois, si l’entreprise exige que les fichiers soient supprimés, il est fortement recommandé de tester le processus souhaité en laboratoire avant de mettre en œuvre les étapes en production afin de minimiser l’impact. Il est également conseillé d’avoir un plan de sauvegarde et de restauration à portée de main pour récupérer le système en cas de problème avec l’activité.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
21.0 |
14-Jan-2022
|
Révision 20.0 |
20.0 |
06-Jan-2022
|
Révision 19.0 |
19.0 |
03-Jan-2022
|
Révision 18.0 |
18.0 |
29-Dec-2021
|
Révision 17.0 |
17.0 |
29-Dec-2021
|
Révision 15.0 |
16.0 |
26-Dec-2021
|
Révision 14.0 |
15.0 |
25-Dec-2021
|
Révision 13.0 |
14.0 |
24-Dec-2021
|
Révision 12.0 |
13.0 |
23-Dec-2021
|
Révision 11.0 |
12.0 |
23-Dec-2021
|
Révision 10.0 |
11.0 |
22-Dec-2021
|
Révision 9.0 |
10.0 |
22-Dec-2021
|
Révision 8.0 |
9.0 |
20-Dec-2021
|
Révision 7.0 |
7.0 |
19-Dec-2021
|
Révision 6.0 |
6.0 |
17-Dec-2021
|
Révision 5.0 |
5.0 |
17-Dec-2021
|
Révision 4.0 |
4.0 |
17-Dec-2021
|
Révision 3.0 |
3.0 |
16-Dec-2021
|
Révision 2.0 |
1.0 |
14-Dec-2021
|
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)