Prezado Cliente Toccato,

 

Em  10/12/21, foi divulgado uma vulnerabilidade com o score 10 (a mais alta) com a exploração de um RCE (RCE é um acrônimo para Remote Code Execution), onde basta ter o produto LOG4J para ser atacado, isso para qualquer versão que adote algo em java. Leia mais, clicando aqui

O problema foi detectado e avaliado pela Qlik.Veja mais detalhes no link, que além mencionar os produtos que são afetados, já informa os procedimentos de mitigação.

Os seguintes produtos não são afetados :

  • Qlik Sense Enterprise, all supported versions
  • Qlik Sense Enterprise SaaS
  • QlikView, all supported versions
  • Nprinting, all supported versions
  • Qlik Alerting, all supported versions
  • Qlik Web Connectors, all supported versions
  • Qlik RepliWeb and ARC, all supported versions
  • AIS, including ARC, all supported version
  • Nodegraph
  • AutoML
  • Qlik Catalog supported versions before May 2021 are not affected
  • Blendr
  • Qlik Data Transfer
  • Salesforce and SAP Connectors are not affected
  • Qlik Forts
  • ODBC Connector Package
  • REST Connectors
  • Qlik Sense Business

O produto a seguir passa por revisão:

  • Attunity Visibility

 

Os seguintes produtos são afetados:

 

Product and Version Mitigation Steps Patch Includes Date Available
Compose 2021.8 steps to mitigate are available Log4J Upgrade to 2.16.0 Published  *
Compose 2021.5 steps to mitigate are available.  Log4J Upgrade to 2.16.0 Published *
Compose 2021.2 steps to mitigate are available. Log4J Upgrade to 2.16.0 Published *
C4DW 7.0 steps to mitigate are available Log4J Upgrade to 2.16.0 Published *
C4DW 6.6.1 steps to mitigate are available Log4J Upgrade to 2.16.0 Early January
C4DW 6.6 steps to mitigate are available Log4J Upgrade to 2.16.0 Early January
C4DL 6.6 steps to mitigate are available  Log4J Upgrade to 2.16.0 Early January
Replicate 2021.11 steps to mitigate are available Log4J Upgrade to 2.16.0 Published *
Replicate 2021.5 steps to mitigate are available Log4J Upgrade to 2.16.0 Published *
Replicate 7.0 steps to mitigate are available Log4J Upgrade to 2.16.0 Early January
Replicate 6.6  steps to mitigate are available Log4J Upgrade to 2.16.0 Early January
QEM 2021.11 steps to mitigate are available Log4J Upgrade to 2.16.0 Published *
QEM 2021.5 steps to mitigate are available Log4J Upgrade to 2.16.0 Published *
QEM 7.0 steps to mitigate are available Log4J Upgrade to 2.16.0 Early January
QEM 6.6 steps to mitigate are available Log4J Upgrade to 2.16.0 Early January
Catalog 4.12.2 steps to mitigate are available Log4J Upgrade to 2.17.0 Published *
Catalog 4.11.2 steps to mitigate are available Log4J Upgrade to 2.17.0 Published *
Catalog 4.10.3 steps to mitigate are available Log4J Upgrade to 2.17.0 Published *
GeoAnalytics Server – 4.32.3 steps to mitigate are available Log4J Upgrade to 2.16.0 Early January
GeoAnalytics Server – 4.27.3 – 4.19.1 steps to mitigate are available Log4J Upgrade to 2.16.0 Early January
GeoAnalytics Plus – 5.31.1  steps to mitigate are available Log4J Upgrade to 2.16.0 Published *
GeoAnalytics Plus – 5.30.1-5.29.4 steps to mitigate are available Log4J Upgrade to 2.16.0 Early January
GeoAnalytics Plus – 5.28.2-5.27.5 steps to mitigate are available Log4J Upgrade to 2.16.0 Early January
GeoAnalytics Plus – 5.26.5 steps to mitigate are available Log4J Upgrade to 2.16.0 Early January

*Certifique-se de que será feito o download do Patch correspondente à sua versão vigente.

 

A Qlik já disponibilizou um calendário com o Patches que estarão disponíveis, e você pode acessá-lo pelo sitehttps://download.toccato.com.br

Caso queira avaliar o calendário de disponibilização dos Patches, acesse

Diante do cenário de vulnerabilidade do Sistema, reforçamos a importância em manter seu ambiente Qlik seguro, assim podemos mitigar possíveis falhas evitando transtornos maiores. 

É importante frisar que a aplicação dos patches pode ser realizada pelo Time do Suporte Toccato, sem custo mediante abertura de chamado agendado. Agende o seu!

Caso tenham dúvidas, estou à disposição. Envie um e-mail para suporte@toccato.com.br.

Obrigado,

Fabio Antunes
Gestor Técnico – Grupo Toccato