Prezado Cliente Toccato,
Em 10/12/21, foi divulgado uma vulnerabilidade com o score 10 (a mais alta) com a exploração de um RCE (RCE é um acrônimo para Remote Code Execution), onde basta ter o produto LOG4J para ser atacado, isso para qualquer versão que adote algo em java. Leia mais, clicando aqui
O problema foi detectado e avaliado pela Qlik.Veja mais detalhes no link, que além mencionar os produtos que são afetados, já informa os procedimentos de mitigação.
Os seguintes produtos não são afetados :
- Qlik Sense Enterprise, all supported versions
- Qlik Sense Enterprise SaaS
- QlikView, all supported versions
- Nprinting, all supported versions
- Qlik Alerting, all supported versions
- Qlik Web Connectors, all supported versions
- Qlik RepliWeb and ARC, all supported versions
- AIS, including ARC, all supported version
- Nodegraph
- AutoML
- Qlik Catalog supported versions before May 2021 are not affected
- Blendr
- Qlik Data Transfer
- Salesforce and SAP Connectors are not affected
- Qlik Forts
- ODBC Connector Package
- REST Connectors
- Qlik Sense Business
O produto a seguir passa por revisão:
- Attunity Visibility
Os seguintes produtos são afetados:
Product and Version | Mitigation Steps | Patch Includes | Date Available |
Compose 2021.8 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Published * |
Compose 2021.5 | steps to mitigate are available. | Log4J Upgrade to 2.16.0 | Published * |
Compose 2021.2 | steps to mitigate are available. | Log4J Upgrade to 2.16.0 | Published * |
C4DW 7.0 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Published * |
C4DW 6.6.1 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Early January |
C4DW 6.6 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Early January |
C4DL 6.6 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Early January |
Replicate 2021.11 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Published * |
Replicate 2021.5 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Published * |
Replicate 7.0 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Early January |
Replicate 6.6 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Early January |
QEM 2021.11 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Published * |
QEM 2021.5 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Published * |
QEM 7.0 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Early January |
QEM 6.6 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Early January |
Catalog 4.12.2 | steps to mitigate are available | Log4J Upgrade to 2.17.0 | Published * |
Catalog 4.11.2 | steps to mitigate are available | Log4J Upgrade to 2.17.0 | Published * |
Catalog 4.10.3 | steps to mitigate are available | Log4J Upgrade to 2.17.0 | Published * |
GeoAnalytics Server – 4.32.3 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Early January |
GeoAnalytics Server – 4.27.3 – 4.19.1 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Early January |
GeoAnalytics Plus – 5.31.1 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Published * |
GeoAnalytics Plus – 5.30.1-5.29.4 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Early January |
GeoAnalytics Plus – 5.28.2-5.27.5 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Early January |
GeoAnalytics Plus – 5.26.5 | steps to mitigate are available | Log4J Upgrade to 2.16.0 | Early January |
*Certifique-se de que será feito o download do Patch correspondente à sua versão vigente.
A Qlik já disponibilizou um calendário com o Patches que estarão disponíveis, e você pode acessá-lo pelo site: https://download.toccato.com.br
Caso queira avaliar o calendário de disponibilização dos Patches, acesse
Diante do cenário de vulnerabilidade do Sistema, reforçamos a importância em manter seu ambiente Qlik seguro, assim podemos mitigar possíveis falhas evitando transtornos maiores.
É importante frisar que a aplicação dos patches pode ser realizada pelo Time do Suporte Toccato, sem custo mediante abertura de chamado agendado. Agende o seu!
Caso tenham dúvidas, estou à disposição. Envie um e-mail para suporte@toccato.com.br.
Obrigado,
Fabio Antunes
Gestor Técnico – Grupo Toccato