Au cours du week-end, une vulnérabilité de sécurité de haute gravité dans le cadre de journalisation log4j basé sur Java (CVE-2021-44228) a été signalée et est activement exploitée. Cet exploit est également connu sous le nom de « log4shell » et fournit un vecteur d’exécution de code à distance.
La sécurité est une priorité absolue chez MPS Monitor. Nous avons donc examiné activement notre infrastructure pour évaluer notre exposition à cette vulnérabilité et pour nous assurer que nous continuons à maintenir un environnement sécurisé pour vous et vos clients.
À la suite de cette évaluation complète et approfondie, nous pouvons affirmer que MPS Monitor ne souffre d’aucun risque lié à cette vulnérabilité.
Plus précisément :
- Tous nos services en nuage et nos services côté serveur sont basés sur .NET. Nous n’utilisons pas log4j et donc aucun système, processus ou service de serveur n’est affecté.
- Le DCA Windows de MPS Monitor est basé sur .NET, et n’utilise Java dans aucune partie de sa base de code. Log4j n’est pas du tout présent dans le progiciel DCA de Windows.
- Sur certaines versions des DCA intégrés, nous utilisons Java et Log4J. Les versions du DCA intégré utilisant Java sont :
o DCA intégré Samsung
o DCA intégré Kyocera
Sur ces applications, nous avons effectué des vérifications approfondies et nous pouvons confirmer que la version de Log4J que nous utilisons ne fait pas partie de celles affectées par la vulnérabilité.
Nous avons également vérifié que les classes et fonctions pouvant être exploitées par la vulnérabilité ne sont présentes dans aucune des versions intégrées actuellement distribuées ni dans les versions précédentes.
- Pour les clients HP utilisant MPS Monitor avec HP Smart Device Services, et pour les clients HP SDS Action Center, Java et Log4j ne sont pas utilisés dans JAMC ni dans aucun autre composant SDS.
Nous pouvons donc déclarer officiellement que CVE-2021-44428 n’affecte en aucune façon la sécurité du système MPS Monitor. Cette vulnérabilité ne nécessite aucune action de votre part ou de la nôtre.
Si vous utilisez MPS Monitor pour gérer les périphériques d’impression de vos clients, vous pouvez leur transmettre ce message et leur donner une totale tranquillité d’esprit sur le niveau de sécurité qu’offre votre système de gestion à distance.
Si vous souhaitez en savoir plus sur la position de sécurité globale de MPS Monitor, veuillez lire le livre blanc sur la sécurité de la plateforme MPS de Keypoint Intelligence https://www.mpsmonitor.com/docs/MPSMonitor_PlatformSecurity.pdf