phone +41 56 485 91 91 |
mail Contact |
FlowCAD |
English Deutschland Schweiz Suisse Polski Czech

Log4j Update

FlowCAD Support

Log4j est un framework pour la journalisation des messages d’application en Java. Dans de nombreux logiciels libres et commerciaux, il est devenu une norme de facto au fil des ans. Log4j est considéré comme un pionnier pour d'autres logging-frameworks, également dans d'autres langages de programmation. Ces derniers jours, une faille de sécurité a été découverte dans ce context. Il y a des fichiers log4j dans les mises à jour les plus récentes des installations logicielles Cadence d'OrCAD et Allegro 17.2 et 17.4.

Log4j

Vérifiez votre dossier d'installation pour log4j, puis voyez si votre version installée trouve de tels fichiers.

Ces fichiers sont adressés à 2 endroits dans le logiciel:

  • avec le Datamanagement Tool EDM
  • avec la fonction Place > Search Providers dans OrCAD Capture

Pour la version 17.2 s’applique

Le hotfix 080 de l’ISR est maintenant disponible sur downloads.cadence.com. Il s’agit de la correction permanente recommandée pour TOUTES les installations du logiciel 17.2. Cet ISR supprime toutes les classes log4j incriminées, de sorte que les attaques de type « zero-day » et « denial of service » ne constituent plus une menace.

REMARQUE : Apache a publié log4j v2.17, qui n'est pas arrivé à temps pour être inclus dans ISR080. Pour atténuer le problème, l'ISR080 a été purgé de toutes les classes incriminées dans log4j, de sorte qu'aucune vulnérabilité n'existe, MAIS certains scanners peuvent encore signaler la version de log4j puisqu'elle est basée sur la v2.16 et PAS la v2.17. ISR081, qui sera publié en janvier 2022, sera basé sur log4j v2.17, ce qui signifie que les scanners ne signaleront plus le logiciel Cadence comme une faille de sécurité potentielle. Il est important de comprendre que l'ISR080 supprime complètement la vulnérabilité. Il n'y a donc aucune raison d'attendre l'ISR081, qui supprimera simplement les faux positifs signalés par les scanners.

Pour la version 17.4 s’applique

Le hotfix 025 de l’ISR est maintenant disponible sur downloads.cadence.com. Il s’agit de la correction permanente recommandée pour TOUTES les installations du logiciel 17.4. Cet ISR supprime toutes les classes log4j incriminées, de sorte que les attaques de type « zero-day » et « denial of service » ne constituent plus une menace. REMARQUE : Apache a publié log4j v2.17, qui n'est pas arrivé à temps pour être inclus dans ISR025. Pour atténuer le problème, l'ISR025 a été purgé de toutes les classes incriminées dans log4j, de sorte qu'aucune vulnérabilité n'existe, MAIS certains scanners peuvent encore signaler la version de log4j puisqu'elle est basée sur la v2.16 et PAS la v2.17. ISR026, qui sera publié en janvier 2022, sera basé sur log4j v2.17, ce qui signifie que les scanners ne signaleront plus le logiciel Cadence comme une faille de sécurité potentielle. Il est important de comprendre que l'ISR025 supprime complètement la vulnérabilité. Il n'y a donc aucune raison d'attendre l'ISR026, qui supprimera simplement les faux positifs signalés par les scanners.

More Information from Cadence on log4j

Correction manuelle pour les versions 16.6, 17.2 et 17.4

Veuillez contacter le support FlowCAD.

Ligne d'assistance

Allemagne, Autriche, Suisse et Liechtenstein

support@FlowCAD.de
T +49 89 45637-777

Europe de l'Est et en Afrique du Sud

support@FlowCAD.pl
T +48 58 727 90 90

Fastviewer

Fastviewer
Fastviewer Remote-Hotline

If you work with the Windows operating system, you can use the Internet to allow our support staff to take a remote look at your screen. You load an .EXE file from Fastviewer onto your computer and you can start a private session with our technical experts. The session number can be obtained by telephone from our support staff. For customers under maintenance this service is free of charge.

» Download Client Fastviewer.exe

Open Technical Support Request

Technical support is available free of charge for customers with a valid maintenance contract with FlowCAD.